Фантом ли ?

[ancient]

Доброго времени суток!
Мне кажется данная информация покажется вам интересной )
Дано:
2 жестких 80 и 500 гб соответсвенно
на 500ке 2 раздела 1й системный
в связи с тем, что долгое время стационарный компьютер не работал по причине поломки мат.платы, эти 2 винчестера стали "потаскунами". 3 дня назад наконец то компьютер был починен и винты встали на свое законное место. Мои действия:
-Загрузка с LiveCD, удаление с системного раздела старой операционки и программ( не форматировался так как помимо системы там была медийная инфа =))
-Установка ОС WinXP с СП3 и заплатками по конец октября.
-Наладка системы и установка необходимых программ...
..вот тут начинается самое интересное..., после нескольких часов работы программа StartGuard предупреждает меня что пытается изменится ключ реестра содержащий стартовую страницу IE(им не пользуюсь совсем), естественно изменение запрещаю( ксожалению программа не указывает "кто" это пытается сделать.Через 5-10 сек. повтор и т.д...(если кому интересно предлагает страницу с адресом inet123.ru но наверно не стоит туда ходить) пытался с помощью filemon отследить "кто" обращается к ключу, но, увы, показывает только SG..
на тот момент было установлено:
Outpost версии 5ххх обновленный (который кстати выскакивал вслед за SG и предалгал все исправить)
DRWeb версии 5х с обновленными базами
USB Guard ( о ней попозже)
AVZ версии 4х с последними обновлениями
полная проверка вебом ничего не дала все чисто
аутпост-чисто
авз нашел несколько подозрительных библиотек
и неопознаные перехватчики в кернеле
- отсылаю библиотеки на вирустотал-чисто
- начинаю изучать реестр на предмет автозагрузок - несколько подозрительных ключей удалил.
примерно через полчаса после обнаружения замечаю, что у меня полно "двойных" процессов в диспетчере, а ещё через полчаса я даже диспетчер запустить не могу =) мол, нет прав. после ребута некоторое время все нормально..
- иду читать логи setupapi.log последнее установленное устройство явно вызывает подозрение так как при установке снимает защиту и подменяет файл admparse.dll , который в свою очередь не проходит проверку подлинности.
-прослеживаю связи удаляю устройство и все его драйвера, через ердкомандер курочу реестр.

работаю на этой системе пару часов чтобы удостоверится...вроде все чисто....
так как эту систему я всю раскурочил (просто было желание самому "найти и уничтожить", хотя можно было и просто отформатировать раздел) решаю переустановить с нуля, все таки форматирую раздел, ставлю занова-ложусь спать

сл. день : пара часов работы и ...-здравствуйте =) и снова полно "двойных процессов" (кстати зараженные длл в каждой оси были разные )

далее подробно не буду, только суть:

форматирование системного раздела установка антивирусов фаерволов адвэеров - полная проверка всех винтов НЕ помагает
установка Windows 7 в надежде на другую файловую архитектуру НЕ помогает
установка на отдельный, полностью отформатированый винт с установкой кучи софта с последними базами, последующим подключением заразного винта и его проверка НЕ помогает

вся прелесть в том что исполняемого файла нет - только дллки, причем некоторые все таки определялись антивирусом и удалялись =) , а вот источник ...увы...

подозреваю фантом, очень давно сталкивался... вся беда что некуда слить инфу с диска, да и судя по тому, что заражение происходит при подключении винта к незаразному, то это не выход...,

на данный момент в конце 2го раздела создал новый в екст2, конвертнул в нтфс, слил обратно - раньше фантом писал свое тело в конец диска, надеюсь не изменилось =) может быть убил...
но теперь я заинтересовался папками AUTORUN.INF а в ней папка immuniti, которые образовались после 1ой!!! установки (антивирус на них не ругался), в описании папки прочитал, что создатель её программа USBGuard , но вот удалить я её не могу никаким способом, даже с ливСД, сейчас вот сижу, сканирую винт на физическое расположение этой папки (может получится нулями забить).....

вот такая вот история....

[craftix]

Знаете, я слышал, что если выполнить правила http://virusinfo.info/pravila.html и создать тему здесь http://virusinfo.info/forumdisplay.php?f=46 , то очень вероятно, что вам помогут найти это приведение=)

[ancient]

я, как правило, очень внимателен и не пренебрегаю прочтением полезной информации в виде правил, но так как система уже давно убита, то не имею возможности проделать все те операции и создать тему в разделе "Помогите" , помощь мне не нужна, мне любопытно сталкивался ли кто нибуть в последенее время с таким поведением =) и как была решена проблема

простите за орфографию ))

Добавлено через 38 секунд

возможно я не в той теме топик создал ? м ?

[ancient]

кому интересно(хотя не заметил особого интереса ни у кого) прибил зверюгу, методов обнаружил несколько, зверюга жила в альтернативных потоках NTFS с привязкой на корзину, самый простой метод преобразовать раздел со зверьком в FAT и обратно, с учетом конечно проблемы 2Гб файлов.

спасибо за помощь ага .

Добавлено через 2 минуты

если заинтересует кого, опишу другие, сейчас лень