C:\WINDOWS\system32\kdnhx.exe, winctrl32.dll, tcpsr.sys

Пробовал удалять в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
параметр C:\WINDOWS\system32\kdnhx.exe с одноименным значением (C:\WINDOWS\system32\kdnhx.exe) - сразу после нажатия F5(обновить) она восстанавливается. Файла kdnhx.exe по указанному пути нет. Пробовал переименовать параметр - появляется снова, и переименованную копию удалить также не дает. Отключил загрузку всего с помощью msconfig (диагностический запуск)- не помогло...

Обнаружил
C:\WINDOWS\System32\drivers\winctrl32.dll

Нашел в реестре левый сервис:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr
[ \??\C:\WINDOWS\System32\drivers\tcpsr.sys ]

Аномальная сетевая активность:
svchost.exe ИСХ TCP mxs.mail.ru SMTP
svchost.exe ИСХ TCP mail7.digitalwaves.co.nz SMTP
svchost.exe ИСХ TCP in1.smtp.messagingengine.com SMTP
svchost.exe ИСХ TCP gsmtp183.google.com SMTP
svchost.exe ИСХ TCP gmail-smtp-in.l.google.com SMTP

Также srvhost открывал локальные порты (номер следующего увеличивался на единицу) по одному в секунду на удаленный адрес
svchost.exe ИСХ TCP 208.72.169.19 1939 и загружались вирусы, которые сразу определялись и удалялись NOD32.

После запуска AVZ ([SIZE=2][FONT=Verdana][B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"[/B][/FONT]) winctrl32.dll исчез, по SMTP ничего не отправляет и пропал ИСХ TCP 208.72.169.19 на порт 1939 [/SIZE]


Подскажите плиз, как избавиться от этого?

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('winvolume.exe','');
QuarantineFile('C:\WINDOWS\system32\kdnhx.exe','');
DeleteService('Winvb72');
DeleteService('Winsw26');
DeleteService('Winrw50');
DeleteService('Winnr72');
DeleteService('Winmr50');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsw26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr50.sys','');
DeleteService('Vae26');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vae26.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vae26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnr72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsw26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb72.sys');
DeleteFile('C:\WINDOWS\system32\kdnhx.exe');
DeleteFile('winvolume.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

Предидущие логи сделаны в минимальной конфигурации (диагностический запуск msconfig). Эти - обычный запуск (загружены все драйверы и службы)

выполните скрипт ...
[code]
begin
DeleteFile('kdnhx.exe');
DelWinlogonNotifyByFileName('kdnhx.exe');
ExecuteSysClean;
end.
[/code]
повторите virusinfo_syscheck.zip

После запуска скрипта и перезагрузки в реестре осталось:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
двоичный параметр kdid
двоичный параметр kdnhx.exe

HKEY_USERS\S-1-5-21-789336058-1383384898-1343024091-500\Software\Microsoft\Windows\CurrentVersion
двоичный параметр kdid
двоичный параметр kdnhx.exe

Это нормально?

[QUOTE=314404;241771]
Это нормально?[/QUOTE]
по крайней мере не страшно ... можете почистить реестр вручную ...
лог где ?

Вот он

в логе ничего подозрительного ...

Спасибо огромное!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\kdnhx.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.DownLoader.64188)[/LIST][/LIST]