Помогите... страшный вирь

Здравствуйте!

В общем попал в очень непростую ситуацию...
Примерно неделю назад в процессе проверки компа выявил в папке system32 файл с вирем Trojan.Netqv, удалил его (что получилось оень даже просто) и успокоился...
Однако, через 1 перезагрузку комп вдруг стал очень долго загружаться на стадии "Запуск Виндоуз" (примерно 3-5 минут) и затем перед отображением меню выбора пользователей издал звуковой сигнал. При загрузке пользователя опять произошла задержка, рисунок рабочего стола не загрузился. Более того, в папке "Сетевые подключения" исчезли все подключения, права пользователя были существенно урезаны (нельзя было через AVZ зайти в менеджера процессов и в другие основные системные функции, не стали загружаться файлы Ворда и Эксель. Проверка AVZ не дала никаких результатов.
При выборе в момент загрузки другого пользователя та же картина повторилась. Та же картина проявлялась и при перезагрузке в "Безопасном режиме". Только на другой день каким то случайным образом загрузилась "Восстановление системы" и я смог откатиться на тот момент, когда вирь еще не был удален. После этого все заработало нормально. Я снова попробовал удалить этот вирь (кстати, имя файла с вирем изменилось) и снова попал на те же проблемы . Опять же на следующий день я откатился в "Восстановлении системы" на старую точку, чтобы все снова заработало. Вирь сильно кушает трафик, забивает жесткий диск мусором.
Помогите с ним справиться.
Кстати, когда я неоднократно попытался в AVZ выполнить скрипт [FONT=Verdana]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info",[SIZE=2]однако[/SIZE][SIZE=2]то AVZ либо зависал либо просто выключался. Так что прилагаю только 2 лога.[/SIZE][/FONT]
[FONT=Verdana][SIZE=2]И еще момент - в корневой директории диска "С" появились 2 файла cd1041.nls и cd1467.nls размером оба по 94 208.[/SIZE][/FONT]
[FONT=Verdana][/FONT]
[FONT=Verdana][SIZE=2]Как я сам думаю, что сам вирь сидит в каком-то системном процессе winlogon, lsass, explorer, svhost либо в каком то еще, а файлы с вирем он генерирует для отслеживания за реакцией пользователей - будут ли бороться с вирем и в случае борьбы включает свой вредоносный механизм.[/SIZE][/FONT]

выполните скрипт
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\enkhnfw.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....
[B]только ничего не удаляйте самостоятельно.... это может привести к краху системы[/B]

скрипт выполнил, карантин загрузил, только вот где видно, что карантин загрузился?

да к сожалению у нас проблемы с загрузкой... закачайте на [url]http://zalil.ru/[/url] и дайте ссылку ...

enkhnfw.dll Trojan.Win32.Agent.afg.
Программу [url]http://www.tksinc.us/downloads/WinsockXPFix.exe[/url] нужно скачать заранее так-как после выполнения лечения интернет может не работать...
профиксить
[code]
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\a rm32.dll (file missing)
O20 - Winlogon Notify: bnreg - C:\Documents and Settings\All Users\Документы\Settings\b n.dll (file missing)
O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
[/code]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\enkhnfw.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ....

программу по ссылке скачал
зачем она нужна?
фиксить в ней или в HijackThis?

фиксить в HijackThis ... ней вы воспользуетесь в случае если возникнут проблемы с выходом в интернет....

все профиксил, скрипт выполнил, однако выполнить скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" опять не получилосб, AVZ наглухо завис

логи прилагаю

отдельное спасибо за программу по ссылке

проблемы с выходом в Инет после выполнения скрипта у меня действительно возникли...

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

и еще 2 момента:
1)при загрузке системы высвечивается ошибка файервола "ТСР port not found"
2)после зависания AVZ обнаружил что в папке C:\Documents and Settings\Сергей\Local Settings\Temp опять появились файлы типа avz_1964_2.tmp весом более 4 ГБ (такие же файлы у меня были и когда я пытался ранее выполнить этот стандартный скрипт)

Пришлите по правилам файл [B]C:\WINDOWS\system32\drivers\NDIS.sys[/B]
(также через slil.ru).

вот ссылка [url]http://slil.ru/24724770[/url]

Файл не детектируется антивирусами, но подозрения есть. Отправил в ЛК на анализ, ждем ответа.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 39 минут[/I][/B][/color][/size]

Пришел ответ - ndis.sys чистый.

Обновите базы AVZ, очистите папку
C:\Documents and Settings\Сергей\Local Settings\Temp
и попробуйте сделать лог лечения/карантина в безопасном режиме,
а также дополнительный лог, как описано здесь:
[url]http://virusinfo.info/showthread.php?t=10387[/url]

В общем, все по-порядку.

Выполнил все указанные инструкции. Базы обновить не удалось. АВЗ выдал ошибку "Ошибка загрузки файла с описанием обновления avzupd.zip с [url]http://z-oleg.com/secur/avz.up[/url] [21,00002EFD]
Ранее при попытке обновления также была подобная ошибка.

Во-вторых я заметил, что аутпост у меня был переименован в PRODUCT после загрузки и выдачи сообщения "Имя порта ТСР не найдено" находится в трее и не реагирует на команды, однако служба остается загруженной.
Я попытался деинсталлировать Аутлук через Панель управления, но выскочила ошибка деинсталляции "Файл install.log испорчен".

В-третьих, в безопасном режиме при выполнении стандартного скрипта АВЗ опять наглухо завис а в папке Temp опят появились "тяжелые файлы" avz_1264_2.tmp и avz_948_2.tmp весом более 350МБ.

Логи и заархивированный файл проверки прикрепляю

извиняюсь, дополнительные АВЗ логи были сделаны не в безопасном режиме.

Прикрепляю файлы из Безопасного режима + когда я выполнял стандартные скрипты №1, АВЗ выдал интересную инфомацию (тоже прилагаю лог)

1. Установите AVZPM, перегрузитесь.
2. Выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
ExecuteSysClean;
BC_QrFile('C:\WINDOWS\svchost.exe');
BC_QrSvc('PowerManager');
BC_DeleteSvc('PowerManager');
BC_DeleteFile('C:\WINDOWS\svchost.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
3. Пофиксите:
[QUOTE]O2 - BHO: (no name) - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)[/QUOTE]
4. Карантин по правилам + контрольно все логи заново.
5. Офтоп: Как погода в Архангельске? 100 лет там не был..

И так, по-порядку.

1.AVZPM у меня уже был загружен, но для чистоты эксперимента я его выгрузил, перезагрузился, снова загрузил и снова перезагрузился.

2. Скрипт выполнил

3.Пофиксил.

4. При стандартном скрипте лечения/карантина АВЗ снова плотно подвис, по этому сделал в безопасном режиме доп. логи АВЗ (с логом скрипта №1).
Карантин залил на [получил]

Логи прилагаю.

Проблема не исчезла

5. До вчерашнего дня 2 недели стояла жара +25...+30, сегодня похолодало до +12... север все-таки

Выполните такой скрипт:
[code]
begin
ClearQuarantine;
BC_QrSvc('fwdrv.sys');
BC_QrSvc('poof');
BC_QrSvc('qqd.sys');
BC_QrSvc('wincom32');
BC_QrSvc('windev-36cf-ee3');
BC_DeleteSvc('fwdrv.sys');
BC_DeleteSvc('poof');
BC_DeleteSvc('qqd.sys');
BC_DeleteSvc('wincom32');
BC_DeleteSvc('windev-36cf-ee3');
BC_Activate;
RebootWindows(true);
end.[/code]
Все упомянутое в нем скорее всего удалено когда-то раньше, но мало ли... Вдруг что попадет в карантин - пришлите по правилам. Потом попробуйте сделать стандартный скрипт #3. Если опять не пойдет - еще раз "дополнительный лог".

карантин на [url]http://slil.ru/24725650[/url]

АВЗ при выполнении скрипта №3 опять плотно завис и создал в папке Temp файл avz_948_2.tmp размером более 1 ГБ.

Доп. логи АВЗ прилагаю

Больше не вижу, к чему придраться... Какие проблемы проявляются кроме невозможности выполнить скрипт #3 - поедание трафика, появление странных файлов, что-то еще?