Rootkit.Win32.ZAccess.c

Здравствуйте, прошу помощи в лечении руткита ZAccess. Подруга принесла ноут и попросила почистить от вирусов, говорила, что самопроизвольно открывались страницы непонятные, да на флешках постоянно файлы пропадали. На ноуте стоял NOD32, но не работал а просто так висел в памяти, я его снес, поставил KIS 2012. Полной проверкой снес очень много вирусов, причем копий по всей системе. Вычистил всю заразу, но после нескольких перезагрузок/проверок чтоб наверняка, был обнаружен в драйвере csc.sys Rootkit.Win32.ZAccess.c. Лечение активных угроз -> Перезагрузка Касперский опять ругается на него, попробовал TDSSKiller, обнаружил его же, лечение, не помогло, после перезагрузки каспер опять ругается, загрузился с лайв сд, заменил драйвером с чистого компа, потом каспер ругался уже на dfsc.sys, вроде вылечил, проверка, другой драйвер, и вот так постоянно только на разные драйверы, в ходе одной из проверок каспер обнаружил еще такую вещь: Backdoor.Win32.ZAccess (букву в конце не помню и не могу посмотреть в каспере, так как каспер отказывался работать и уже несколько раз его переустанавливал) в файле C:\Windows\assembly\GAC_MSIL\Desktop.ini. Он то пропадал, то появлялся, в конечном итоге его удалось удалить с помощью AVZ из безопасного режима. Но не факт. Касперский уже снес cdrom.sys. DrWeb CureIT из безопасного вообще ничего не увидел. Вот сейчас Касперский обнаружил и вылечил klif.sys и tdx.sys якобы удалил но после перезагрузки tdx.sys опять угроза. Вот сделал логи, прикрепляю. Помогите пожалуйста, а то уже не знаю куда и копать то...
P.S. Надеюсь расписал все понятно, если что непонятно - спрашивайте...

Уважаемый(ая) [B]PEOOPLE3D[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте, распакуйте и запустите TDSSKiller:
[url]http://support.kaspersky.ru/faq/?qid=208636926[/url]
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

Вот лог, ругался только на не подписанные драйвера и все.

сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]

Не запускается Combofix, точнее запускается и пишет: Program too big to fit in memory. Похоже вирусня не дает запуститься, оперативы 3 Гб.

попробуйте сделать в безопасном режиме.

То же самое писал, и с переименованием и без.
Решил перекачать и скинуть с другого компа, запустился и почему-то файлы отличаются размером, скорее всего недокачивался...
Оказалось не работает новая версия на которую он просил обновиться, запустилась старая (правда ругался на остатки NOD32, где он их нашел так и не понял), вот лог.
P.S. При перезагрузке ComboFix'ом автоматом запустился каспер (надеюсь не помешал) и опять обнаружил Backdoor.ZAccess.avy в файле C:\Windows\assembly\GAC_MSIL\Desktop.ini

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]KillAll::

File::

Driver::
dphost

NetSvc::
dphost

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Вот сделал, как вы сказали (надеюсь все правильно). Он снес desktop.ini, о котором писал выше))
Вот лог:

Теперь Каспер ругается на файл netbt.sys, все тот же Rootkit.Win32.ZAccess.c

Версия ComboFix устарела и перешла в режим ограниченной функциональности. Скачайте новую версию и повторите выполнение скрипта

Вроде нашел нормальную последнюю версию и он кажется все почистил)) Вот лог:

Только теперь не запускается ни один екзешник, пишет: Попытка произвести недопустимую операцию над параметром реестра, отмеченным для удаления.

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Но запускаются через диспетчер задач, жду дальнейших указаний.

c:\windows\system32\ndiswan.dll восстановите так [url]http://virusinfo.info/showthread.php?t=58309&p=514765&viewfull=1#post514765[/url]

Все сделал. Программы запускаются. Отчеты AVZ сделать?

[quote="PEOOPLE3D;859077"]Отчеты AVZ сделать?[/quote]
да.

Вот отчеты AVZ и на всякий сделал лог HijackThis

[URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]удалите Combofix[/URL]

Прокси самии прописывали ? если нет [url=http://virusinfo.info/showthread.php?t=4491]профиксите[/url] в HijackThis
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:64566[/CODE]

Нет, я не прописывал да и хозяйка ноута вряд ли. Профиксил, Combofix удалил.
Меня немного смущает отчет AVZ, там процессы половина красные, это с чем связано может быть или лечение еще не закончено?