Вирусы лезут через svchost

[ascket]

Здравствуйте. Вчера столкнулся с такой проблемой: работая в интернете NOD32 выдал сообщение о возможности заражения, примерно такое
LocalSetting\Temp\BN10.tmp
aVariant of Win32/Kryptik.APD trojan
Comment: Event occurred on a file modified by the application: C:\WINDOWS\System32\svchost.exe. The file was moved to quarantine. You may close this window.

Первое сканирование Dr. Web CureIt позволило обнаружить ок. 7 троянов. Дальнейшие скнирования вирусов не находят, однако при подключении к интернету NOD продалжает выдавать сообщения типа:
LocalSetting\Temp\2AF.tmp
aVariant of Win32/TrojanDropper.AgentOIA trojan
Comment: Event occurred on a file modified by the application: C:\WINDOWS\System32\svchost.exe. The file was moved to quarantine. You may close this window.
или
LocalSetting\Temp\BN11.tmp
aVariant of Win32/Kryptik.APD trojan
Comment: Event occurred on a file modified by the application: C:\WINDOWS\System32\svchost.exe. The file was moved to quarantine. You may close this window.
После выхода из интернета и сканирования ни NOD ни Dr. Web CureIt ничего подозрительного не находят.

Обычно по 2 подобных трояна блокируются при первом выходе в интернет, затем с периодичностью 10-15 минут NOD ругается на троянов.

Буду признателен за помощь.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\Documents and Settings\Alexey\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
 QuarantineFile('C:\WINDOWS\system32\tftp.nfo','');
 TerminateProcessByName('c:\documents and settings\alexey\restorer32_a.exe');
 QuarantineFile('c:\documents and settings\alexey\restorer32_a.exe','');
 TerminateProcessByName('c:\windows\system32\restorer32_a.exe');
 QuarantineFile('c:\windows\system32\restorer32_a.exe','');
 DeleteFile('c:\windows\system32\restorer32_a.exe');
 DeleteFile('c:\documents and settings\alexey\restorer32_a.exe');
 DeleteFile('C:\WINDOWS\system32\tftp.nfo');
 DeleteFile('C:\Documents and Settings\Alexey\Главное меню\Программы\Автозагрузка\ikowin32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[ascket]

Скрипт выполнил, карантин выслал, новые логи приложил.

P.S.: после выполнения скрипта, антивирус больше не ругается. Спасибо!

[thyrex]

restorer32_a.exe - Trojan-Dropper.Win32.Agent.benl
ikowin32.exe - Backdoor.Win32.Bredolab.aap
tftp.nfo - Backdoor.Win32.Bredavi.dt

В логах чисто

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\alexey\restorer32_a.exe - Backdoor.Win32.HareBot.om ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Agent.ANPH, NOD32: Win32/Agent.QDK trojan )
  2. c:\documents and settings\alexey\главное меню\программы\автозагрузка\ikowin32.exe - Backdoor.Win32.Bredolab.aap ( DrWEB: Trojan.Botnetlog.11, BitDefender: Gen:Packed.bq0@eWyIhXmi )
  3. c:\windows\system32\restorer32_a.exe - Backdoor.Win32.HareBot.om ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Agent.ANPH, NOD32: Win32/Agent.QDK trojan )
  4. c:\windows\system32\tftp.nfo - Backdoor.Win32.Bredavi.dt ( DrWEB: Trojan.Packed.2921, BitDefender: Trojan.Generic.2500990, NOD32: Win32/Oficla.F trojan )