проблемы с retadpu27 и vedxg6ame4

Доброго времени суток всем!
Рассказываю, в чем трабл. Итак, система ХР (со вторым сервис паком), фаервол - Аутпост (4 версия с обновленной базой), антивир - касперский 5 (с последними базами) стоял на момент заражения. Сейчас уже стоит Касперский ИС 6 (опять же с последними базами).
Теперь собственно о проблеме. Работал в Инет (использовал Эксплорер, доступ - локальная сеть на Нет-БИОСе через шлюз), неожиданно ругнулся каспер, нашел два вируса - retadpu27.exe и vedxg6ame4.exe. Вирусы я удалил (по крайней мере, каспер сделал такой вид), а через пять минут заметил, что траффика набежало подозрительно много и канал постоянно загружен, хотя я уже ничего не качал.
Далее последовали мои действия, уж не знаю, насколько они правильные.
Отключил сеть и захотел посмотреть, что висит в памяти. Оказалось, Таск Менеджер мне недоступен (якобы отключен админом). Полез в msconfig отключил всякую гадость, которая туда прописалась (штук пять их было, названия уже не вспомню).
Перезагрузил комп, поскольку Таск Менеджер остался недоступным, полез в реестр, где исправил DisableTaskMgr, прописав 0 вместо 1.
Получив в распоряжение Таск Менеджер выгрузил все лишнее. Что нашел - поудалял.
В безопасном режиме прогнал тест Каспером, удалил вирусы, которые он обнаружил, после чего снес все ссылки на них в реестре.
После этого все почти пофиксилось. По крайней мере, такого дикого траффика уже не было, он был почти нормальным за одним исключением, исходящий был почти равен входящему при нормальной работе (то есть, ни писем, ни файлов в аське - ничего не отсылалось).
По этой причине я сменил антивир Касперского 5 на КИС 6, но оставил аутпост (не знаю, насколько это правильно, в КИС я использую антивир, а Аутпост - как фаервол).
КИС 6 нашел еще какое-то количество вирусов, которые благополучно удалил. Теперь исходящий трафик стал меньше, но все еще остается подозрительно большим (50-70% от входящего). Кроме того, даже при нулевой активности что-то куда-то все равно качается.
Решил начать новую конфигурацию в Аутпосте, обнаружил, что идет дикий поток на 1900:UDP с удаленными адресами 18.х.х.х, 15.х.х.х, 127.х.х.х, 239.х.х.х и пр. Начал закрывать, вроде помогает, но все равно траффик какой-то "несоветский" получается.
Тут моя фантазия иссякла, я заглянул в сеть и обнаружил этот форум. Помогите, пожалуйста, кто чем может.
Скачал CureIt, проблем не обнаружила, равно, как и Аутпост с Каспером в безопасном/обычном режимах.
Логи приводятся ниже.
Прошу прощения за огромный пост, хотел все изложить конкретнее.
С уважением, Иван

Выполните скрипт в AVZ:
[code]
begin
BC_QrSvc('xpdx');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('xpdx');
BC_DeleteFile('C:\WINDOWS\system32\xpdx.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - (no file)
[/code]
Карантин пришлите согласно приложению 3 правил.
Сделайте новые логи.

Спасибо, щас попробую. Нормально, если логи пришлю утром? А то баиньки хочется?

Как хотите,у нас нет приказного порядка ;) спокойной ночи

Доброго времени суток всем!

Скрипт выполнил, в хайджеке пофиксил указанные строки.
вот новые логи.
С нетерпением жду дальнейших указаний.
P.S. В архиве "virus.zip" - карантин из АВЗет, без одного файла (c дивиди с дистрибутивом каспера)

Карантин вы высылали?
Диск F у вас сд-ром?можете прислать [B]autorun.inf[/B],он попал в последний карантин,для проверки.

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\aspimgr.exe');
BC_DeleteFile('C:\WINDOWS\system32\aspimgr.exe');
BC_DeleteSvc('aspimgr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Повторите логи.

Спасибо за оперативный ответ, Muzzle!
Итак, скрипт выполнил. Правда, при первом выполнении, винда повисла. АВЗ, вроде все сделал, а во время рубута система повисла.
На всякий случай после перезагрузки еще раз выполнил скрипт, на этот раз обошлось без проблем, появился отчет "скрипт выполнен без ошибок" и винда спокойно ребутнулась.
Вот новые логи, щас пришлю новый карантин. Просто, дивидюк с подозрительным файлом у меня стоит после обнаружения всех пробелем.

В логах всё чисто,если проблем больше нет,то лечение можно считать законченным.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!

Спасибо большое! Только один вопрос остался. Сейчас действительно лишний траффик не капает, вот только из Generic Host Processa что-то продолжает лезть на указанные удаленные адреса, хотя там все Аутпостом и заблокировано. Активность какая-то осталась. Насколько это нормально.

Сделайте дополнительный лог,как сказано тут [url]http://www.virusinfo.info/showthread.php?t=10387[/url]
только в обычном режиме.
И что конкретно и куда лезет?

Доброй ночи, если не спите, Muzzle!
В зип архиве - расширенный лог АВЗет и лог Аутпоста за последние три часа. По UDP:1900 идут запросы местный 192.168.х.х. (это не важно) и всякая гадость на 10.х.х.х, 15.х.х.х, 18.х.х.х
если я ничего не путаю, то это - та самая активность, которая и кушала мой траффик.
На данный момент, выполнение скриптов, работа в хай-джеке и блокирование портов в Аутпосте решили проблему де-факто. Просто мне интересно знать, насколко критично, что svchost.exe продолжает запрашивать эти адреса.

архив забыли?

Да нет, грузил, вроде. history.zip закачал одновременно с ответом через "прислать запрошенные файлы"
Вот так он доложен выглядеть
070826_192026_history_46d218ca308f8.zip

Его надо было к сообщению прикрепить ;) да и лог вы сделали обычный...
Посмотрел я ваш хистори,ничего страшного там нет,запросы эти бегают в вашей сети по протоколу [B]IGMP[/B],поэтому переживать вам незачем,чистого вам интернета.
[url]http://ru.wikipedia.org/wiki/IGMP[/url]

Спасибо большое!
Удачи и вам.
За ошибку с логом - прошу прощения, прощелкал :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]