Возможно масс-заражение системы

[KloneB@DGuY]

Добрый день. Прошу помочь выявить "заразу" в системе.
Уже и Windows с форматирование переустанавливал, но
откуда-то опять эти странные файлы. Сначала думал от
Microsoft .Net Framework 4.0 [может какой левый попался],
да нет. Проверил установщик - вроде бы все чисто.

Установлена система: Windows XP Pro SP3
Сканировал систему: Антивирус Касперский, AVZ, Spybot S&D,
CureIT, HijackThis. Все кроме последнего, ничего не нашли!

Если напрячь память, то вроде после вылазки в интернет,
начались "симптомы". Но непонятно, откуда! Зашел буквально
на пару проверенных сайтов, где точно нет заразы [рекламу режет модуль].

Что меня натолкнуло на мысль:

Подозрительные, пустые папки [в инете полистал, пишут вроде зараза]:

C:\WINDOWS\apppatch используется C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\inetsrv используется C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\h323log.txt используется C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Admin\Local Settings\Apps\2.0\OGDMX234.9DA\WDZ9M390.ZP9\manife sts
C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Portable Devices

C:\WINDOWS\Temp\msohtmlclip
C:\WINDOWS\Temp\WPDNSE

Подозрительная папка, содержит подкаталоги:

C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds Cache
C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds Cache\IEG1T3GG\ieonline.microsoft[1]

Внутри этой папки другие с именами типа HXE97MUZ [внутри каждой desktop.ini и все папки скрытые]

Вроде как подмена расширения:

srrstr.dll на самом деле srrstr.exe и так с кучей библиотек в system32

В ветке реестра HKEY_CLASSES_ROOT подозрительные записи:

Пример: AutoplayHandler и рядом AutoplayHandler.1 и так со многими!

такая же история и с некоторыми библиотеками в system32:

Пример: wuauclt.exe и рядом wuauclt1.exe

Основные системные файлы заменял [через сторонний лайв-сд],
результат один, после перезагрузки все по новой появляется.
Файлов как таковых не нашел, возможно в "памяти" прячется тело.
Кстати в безопасном режиме чисто. Папки не появляются. Очень,
возможно, что с драйверами грузится.

Подскажите, пожалуйста, можно ли что сделать,
или опять форматировать и все ставить по новой?

[thyrex]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=userinit.exe,

Больше ничего плохого

[KloneB@DGuY]

Спасибо за оперативность.

Это то пофиксю [да и фиксил уже]. А написанное
мною выше ни чем не грозит? Например настройки
некоторые слетают [вроде различных откл/вкл в пуске,
даже звуки не дает сменить!]. Что-то в системе есть таки.

Как бы выявить?

Добавлено через 1 час 47 минут

Так что, больше рекомендаций не ждать? То, что
я описал - это как бы не нормально, для винды.

Обратился к вам, так как уже 3 дня маюсь с этой проблемой.
Windows перевешивать не лучший выход [хоть и быстрый]. Много
софта я ставлю и большая часть по работе. Установка то еще ладно,
но вот настройка... Каждую программу настраивать - это ужас. А у меня
еще и спутник стоит, там своих "заморочек" туча.

[KloneB@DGuY]

Дополняю информацию

Comodo отлавливает доступ System к некому 10.228.80.68 порт 445 и 43227

[KloneB@DGuY]

Это какой-то кошмар просто! Возился, возился, плюнул - переустановил систему.
Все вроде бы было хорошо. Но, после того, как я использовал свою утилиту
[она очищает все области автозагрузки и снимает запреты, запуск диспетчера задач и прочее..].
появилось окно, мол системные файлы заменены и т.д.. При загрузке, появилось окно, с прогресс-баром,
мол идет восстановление файлов [а диска та нет в приводе!]. И началалось... Видимо троян уже был в
системе и следил за этими областями. Раньше я сомневался, троян ли это был, но теперь есть доказательства!

Постояно system и svchost.exe ломятся на 10.228.139.201/10.228.176.108 порты 135/445

в msconfig в автозагрузку постоянно прописывается:
\NTUSER.DAT
\ntuser.dat.log
\ntuser/ini

Наличие папки apppatch в C:\WINDOWS [как уже убедился, первый признак, что трой в активировался]

Обнаружил файл C:\WINDOWS\wininit.ini такого содержания:
[rename]
NUL=C:\WINDOWS\Temp\gert0.dll
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico
NUL=G:\AutoRun.exe
NUL=G:\DATACA~5.EXE
NUL=G:\DATACA~8.EXE
NUL=G:\RESETD~C.EXE
NUL=G:\AUTORUN.INF
NUL=G:\SYSCO~10.DAT
NUL=G:\Startup.ico

Я правильно понял, заражение произошло с диска G ?
Важно очень узнать. Если да, то придется идти,
ругатся в магазин - ибо это USB-модем от мегафона о_о

все это, очень похоже на вот этот случай. Мне кажется,
что очень возможно, что проблема кроется в winlogon.exe.

Кстати, как выполнил скрипт "Поиск и нейтрализация RootKit..."
в AVZ, system и svchost.exe перестали ломится в интернет! Но
только до перезагрузки. Уже начинает паника брать! Систему
перевесил и все равно заразился! В сети не лазил! Файервол
и антивирус не отключаю вообще! Стоят на самом высоком уровне!