Хитро спрятанный торян

Выглядит все так:
-Появились неразмеченные области у обоих хардов по 8 метров (небыло раньше 100%) винда говорит что они зарезервированны под системные файлы
-Ad-Aware регулярно стал находить всякие Cookies и DataMiners но троянов не видел
-Стало запускаться куча служб, которые, в свою очередь, стали запускать нездоровое кол-во svchosts

Загрузился с Avast BART CD:
-В pagefile.sys(..2gb???) в корне С и в System Volume Information был обнаружен Win32:Banker-BFS[trj], который регулярно возвращается на место даже после форматированния винта. Был и другой троян что-то вроде U.Save.Now, но он поле лечения сгинул
-Даже при загрузке с авастовского диска не удаляется .ocx файл из папки предыдущей винды на D диске - нет доступа...

Провел эксперимент: форматнул диск и поставил ульта-урезанную версию XP(360 метров в установленном виде), но данные реестра, службы и бибиотеки переехали в полном составе из прошлой винды...

Я в серьезном замешательстве, HELP PLZ!

P.S. Я уже обращался с подобной проблемой, но в прошлый раз она исчезла еще до начала лечения, как токавого...

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\XP\system32\DRIVERS\WMILIB.SYS','');
QuarantineFile('C:\XP\system32\DRIVERS\PCIIDEX.SYS','');
QuarantineFile('C:\XP\system32\ntkrnlpa.exe','');
QuarantineFile('C:\XP\system32\ntdll.dll','');
QuarantineFile('C:\XP\system32\KDCOM.DLL','');
QuarantineFile('C:\XP\system32\hal.dll','');
QuarantineFile('C:\XP\system32\DRIVERS\CLASSPNP.SYS','');
QuarantineFile('C:\XP\system32\BOOTVID.dll','');
QuarantineFile('C:\XP\system32\DRIVERS\1394BUS.SYS','');
QuarantineFile('C:\XP\system32\wininet.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите".

[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
[QUOTE='KillJoy;121159']Провел эксперимент: форматнул диск и поставил ульта-урезанную версию XP(360 метров в установленном виде), но данные реестра, службы и бибиотеки переехали в полном составе из прошлой винды...[/QUOTE]Не надо было проводить экспериментов, а сразу сделать логи. Было бы меньше проблем у Вас и у нас.

В логах ничего подозрительного нет.

[QUOTE]-Появились неразмеченные области у обоих хардов по 8 метров [/QUOTE]
Всегда создаются, если разбивка делается установщиком ХР.

[QUOTE]Ad-Aware регулярно стал находить всякие Cookies и DataMiners [/QUOTE]
Адаваре вечно находит всякую чепуху. Не берите в голову.

[QUOTE]Стало запускаться куча служб, которые, в свою очередь, стали запускать нездоровое кол-во svchosts[/QUOTE]
Поищите в ЧаВо, была заметка об отключении ненужных служб.
Появятся вопросы - задавайте.

[QUOTE]Провел эксперимент: форматнул диск и поставил ульта-урезанную версию XP(360 метров в установленном виде), но данные реестра, службы и бибиотеки переехали в полном составе из прошлой винды...[/QUOTE]
Зачем морочить себе голову? Раз уж форматнули - поставьте нормальную XP SP2, обновления, антивирус - и работайте на здоровье, все будет ОК.

[QUOTE='Maxim;121163']Не надо было проводить экспериментов, а сразу сделать логи. Было бы меньше проблем у Вас и у нас.[/QUOTE]
Сглупил.. Надеялся справиться сам

[QUOTE='Bratez;121165']Всегда создаются, если разбивка делается установщиком ХР.[/QUOTE]
Это не разбивка, у меня два HDD.. и я уверен, что эти области появились вместе с началом всех остальных заморочек

[QUOTE='Bratez;121165']Зачем морочить себе голову? Раз уж форматнули - поставьте нормальную XP SP2, обновления, антивирус - и работайте на здоровье, все будет ОК.[/QUOTE]

Все проблемы проявляются снова уже при первой загрузке ОС - даже файрвол не успеваю поставить

Снял логи в момент, когда начался треш: комп тормозит, винты трещат невпопад, скорость в сети упала до минимума...

После перезагузки Avast нашел в pagefile.sys новую дрянь: Win32: Zhelatin-MC[Wrm] до этого всегда там оказывался Win32:Banker

Присланные файлы чистые.

((((((((( Что делать??? Мои торяны видно только когда я гружусь с авастовского диска. Но первопричину аваст не лечит - после 15 мин работы вся зараза снова на месте...
а комп переодически просто ступрится...

Если бы Вы не проводили эксперимент, мне кажется шансов поймать трояна было бы больше...

[QUOTE='KillJoy;121159']Появились неразмеченные области у обоих хардов по 8 метров (небыло раньше 100%) винда говорит что они зарезервированны под системные файлы[/QUOTE]
[QUOTE='Bratez;121165']Всегда создаются, если разбивка делается установщиком ХР.[/QUOTE]
Если я правильно понимаю, то это оглавление расширенного раздела. Появляется и исчезает вместе с ним.

[QUOTE='KillJoy;121203']комп тормозит, винты трещат невпопад[/QUOTE]
NOD подрался со SpywareTerminator?

[QUOTE='KillJoy;121203']После перезагузки Avast нашел в pagefile.sys новую дрянь: Win32: Zhelatin-MC[Wrm] до этого всегда там оказывался Win32:Banker[/QUOTE]
IMHO, там есть шанс обнаружить всё, что угодно.

[QUOTE='pig;121230']Если я правильно понимаю, то это оглавление расширенного раздела. Появляется и исчезает вместе с ним.[/QUOTE]
у меня физически два винта и я часто переставляю систему - ну небыло раньше их, точно помню!
[QUOTE='pig;121230']NOD подрался со SpywareTerminator?[/QUOTE]
неладное началось когда стояли только Ad-Aware и Nod32
[QUOTE='pig;121230']IMHO, там есть шанс обнаружить всё, что угодно.[/QUOTE]
тоесть нормально что при физически отрубленной сети при лечении с загрузочного диска троян появляется вновь после следующей перезагрузки?

скорость в сети становится 50% от нормальной уже через 5 мин работы
Скачал новую версиы- нод он нашел Win32/Tool.TPE.A но ничего с ним сделать не смог

Вопрос: в папке Documents and Settings должны быть LocalService и NetworkService?

[QUOTE=KillJoy;121498]тоесть нормально что при физически отрубленной сети при лечении с загрузочного диска троян появляется вновь после следующей перезагрузки?[/QUOTE]
Не факт, что в свопе именно троян, а не образец из баз Spyware Terminator или просто похожая комбинация данных.

[QUOTE=KillJoy;121498]Скачал новую версиы- нод он нашел Win32/Tool.TPE.A но ничего с ним сделать не смог[/QUOTE]
Всё там же?

[QUOTE=KillJoy;121498]Вопрос: в папке Documents and Settings должны быть LocalService и NetworkService?[/QUOTE]
Да.

[QUOTE='pig;121532']Цитата:



Сообщение от KillJoy


Скачал новую версиы- нод он нашел Win32/Tool.TPE.A но ничего с ним сделать не смог


Всё там же?[/QUOTE]

нет, не там

А где?

В System Volume Information хотя восстановление системы я отрубил

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]