Непонятный сервис 511d1.exe + постоянно верещит NOD32

Доброго времени суток!
НОД регулярно выдает сообщения о вирусе, типа обнаружил/удалил.
Висит непонятный сервис
O23 - Service: Fax 2Client (ms_2fax) - Unknown owner - C:\WINDOWS\system32\511d1.exe
не фиксится.... Логи прилагаются.

[B]Отключите восстановление системы![/B]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\a511.dll','');
QuarantineFile('C:\WINDOWS\system32\rsmyfpm.dll','');
QuarantineFile('C:\WINDOWS\system32\system.dat','');
QuarantineFile('C:\WINDOWS\system32\511d1.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\traffij.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\pstrip.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\c0tfhykk8.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpidisk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\2x5drz6.sys','');
QuarantineFile('C:\WINDOWS\system32\winlib .dll','');
QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
DeleteFile('C:\WINDOWS\system32\msplrct.dll');
DeleteFile('C:\WINDOWS\system32\winlib .dll');
DeleteFile('C:\WINDOWS\system32\511d1.exe');
DeleteFile('C:\WINDOWS\system32\system.dat');
DeleteFile('C:\WINDOWS\system32\rsmyfpm.dll');
DeleteFile('C:\WINDOWS\system32\a511.dll');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BRR9KVFD\ad_2364[1].exe');
BC_ImportALL;
BC_DeleteSvc('ms_2fax');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, explorer.exe
O2 - BHO: ff Class - {B9751A53-4494-4d7c-9732-AE3058D8145F} - C:\WINDOWS\system32\a511.dll
O9 - Extra button: eachnet - {FFB2385E-E812-4091-8C12-2370DC67F769} - http://www.eachnet.com/specials/digi.html?adid=dzcm_dza_000_soft0_digi (file missing)
O20 - Winlogon Notify: MicroQC - smrss.dll (file missing)[/CODE]
Загрузите карантин согласно приложению №3 правил.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.

Выполнил скрипт, пофиксил...
Проблемы не совсем исчезли :(
Логи прилагаются
В реестр постоянно добавляются строчки
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"traffij"=%systemroot%\system32\Rundll32.exe %systemroot%\system32\traffij.dll,DllUnregisterServer
"wttg5"=%systemroot%\system32\Rundll32.exe %systemroot%\system32\wttg5.dll,DllUnregisterServer

Uvis, простите, а карантин Вы загружали?

Загрузил.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{BCBD80C9-6AD7-48ed-8DF1-6963414B3649}');
DelBHO('{5FB8C5D4-929F-4870-89E2-7E3EE26EE701}');
QuarantineFile('C:\WINDOWS\system32\flym.dll','');
QuarantineFile('C:\WINDOWS\system32\a511.dll','');
QuarantineFile('C:\WINDOWS\Downlo~1\o0qswhbz.dll','');
QuarantineFile('C:\WINDOWS\Downlo~1\hf86.dll','');
QuarantineFile('C:\WINDOWS\system32\notaped.exe','');
DeleteFile('C:\WINDOWS\system32\msplrct.dll');
BC_DeleteFile('C:\WINDOWS\system32\msplrct.dll');
DeleteFile('C:\WINDOWS\system32\winlib .dll');
BC_DeleteFile('C:\WINDOWS\system32\winlib .dll');
DeleteFile('C:\WINDOWS\system32\notaped.exe');
BC_DeleteFile('C:\WINDOWS\system32\notaped.exe');
DeleteFile('C:\WINDOWS\Downlo~1\hf86.dll');
BC_DeleteFile('C:\WINDOWS\Downlo~1\hf86.dll');
DeleteFile('C:\WINDOWS\Downlo~1\o0qswhbz.dll');
BC_DeleteFile('C:\WINDOWS\Downlo~1\o0qswhbz.dll');
DeleteFile('C:\WINDOWS\system32\a511.dll');
BC_DeleteFile('C:\WINDOWS\system32\a511.dll');
DeleteFile('C:\WINDOWS\system32\flym.dll');
BC_DeleteFile('C:\WINDOWS\system32\flym.dll');
DeleteFile('C:\WINDOWS\Temp\nl710939ea.exe');
BC_DeleteFile('C:\WINDOWS\Temp\nl710939ea.exe');
DeleteFile('C:\WINDOWS\e211.exe');
BC_DeleteFile('C:\WINDOWS\e211.exe');
DeleteFile('c:\windows\system32\a511.dll');
BC_DeleteFile('c:\windows\system32\a511.dll');
BC_ImportQuarantineList;
BC_DeleteSvc('KSD2Service');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.

Записи в реестре продолжаюи появлятся. Не фиксится
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
Эту длл-ку пытался удалить анлокером - не берет...
Логи тут, карантин загрузил.

Скриптом для авз удалил этот файл - удалился. Выкложил карантин только с этим файлом

Продолжают появлятся записи в реестре, вернулся удфленный файл pctools.dll. НОД пвыдает слк\едующее
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
01.02.2008 17:55:11 AMON файл C:\WINDOWS\TEMP\nl45546bf.exe множественные проникновения изолирован - удален NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. \??\C:\WINDOWS\system32\winlogon.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
И так несколько раз в день. Неужели заражен winlogon?

Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Downlo~1\y69.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\mxdispdr.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll','');
DelBHO('{385AB8C6-FB22-4D17-8834-064E2BA0A6F0}');
DeleteFile('C:\WINDOWS\system32\msplrct.dll');
DeleteFile('C:\WINDOWS\system32\winlib .dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно п.3 правил

Профиксите

[quote]O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll[/quote]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]46[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\downlo~1\\hf86.dll - [B]Trojan-Downloader.Win32.Agent.iaz[/B] (DrWEB: Trojan.DownLoader.39199)[*] c:\\windows\\downlo~1\\o0qswhbz.dll - [B]Trojan-Downloader.Win32.Agent.ida[/B] (DrWEB: Trojan.DownLoader.39198)[*] c:\\windows\\e211.exe - [B]not-a-virus:AdWare.Win32.BHO.we[/B] (DrWEB: Trojan.Click.16753)[*] c:\\windows\\system32\\a511.dll - [B]not-a-virus:AdWare.Win32.BHO.we[/B] (DrWEB: Trojan.Click.16753)[*] c:\\windows\\system32\\511d1.exe - [B]Trojan-Downloader.Win32.Agent.idr[/B] (DrWEB: Trojan.DownLoader.46254)[*] c:\\windows\\temp\\nl710939ea.exe - [B]Trojan-Downloader.Win32.Agent.ifg[/B] (DrWEB: Trojan.Resun)[*] \\2007-01-30\\bcqr00015.dta - [B]not-a-virus:AdWare.Win32.Cinmus.brp[/B] (DrWEB: Adware.Cinmus.107)[*] \\2007-01-30\\bcqr00016.dta - [B]not-a-virus:AdWare.Win32.Cinmus.brp[/B] (DrWEB: Adware.Cinmus.107)[*] \\2007-01-30\\bcqr00017.dta - [B]Trojan-Downloader.Win32.Hmir.bw[/B] (DrWEB: Trojan.StartPage.20773)[*] \\2007-01-30\\bcqr00018.dta - [B]Trojan-Downloader.Win32.Hmir.bw[/B] (DrWEB: Trojan.StartPage.20773)[/LIST][/LIST]