Проблемка с руткитом

При перезагрузке компа в каталоге Windows/temp создаются файлы типа 1.tmp, 2.sys, 1.dll и тд, которые определяются как вирусы. *.sys определяются как [COLOR=#ff0000][URL="http://www.viruslist.com/ru/find?words=Backdoor.Win32.IRCBot.csk"]Backdoor.Win32.IRCBot.csk[/URL][/COLOR], *.tmp как [URL="http://www.viruslist.com/ru/find?words=Trojan-Mailfinder.Win32.Small.ae"]Trojan-Mailfinder.Win32.Small.ae[/URL],*.dll как [COLOR=#ff0000][URL="http://www.viruslist.com/ru/find?words=Trojan.Win32.Agent.aebb"]Trojan.Win32.Agent.aebb.[/URL][COLOR=Black] Кроме того, часто при перезагрузке после появления окна выбора профилей пользователей происходит сбой, при котором выводится сообщение с абракадаброй в которой можно только разобрать winlogon (наверное потому, что оно по-английски).[/COLOR]
[COLOR=Black]Лечение не помогает - вирусы кроме тех что в temp, не обнаруживаются даже если проверять из другой винды (у меня установлены 2 ХП одна, в которой обычно работаю, заражена, другая чистая).[/COLOR]
[/COLOR]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Выполните скрипт @avz (на той системе откуда логи )
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\Temp\5.tmp','');
QuarantineFile('F:\WINDOWS\Temp\1.tmp','');
QuarantineFile('f:\windows\temp\1.tmp','');
QuarantineFile('F:\WINDOWS\system32\ieudinit.exe','');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
QuarantineFile('F:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('MIDIDEF.EXE','');
QuarantineFile('F:\WINDOWS\P17Def.Exe','');
QuarantineFile('F:\WINDOWS\system32\ntsim.sys','');
QuarantineFile('F:\WINDOWS\system32\DRIVERS\13225262.sys','');
QuarantineFile('F:\WINDOWS\system32\drivers\p17filt.sys','');
QuarantineFile('F:\WINDOWS\system32\Drivers\appdrv01.sys','');
DeleteFile('F:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('f:\windows\temp\'*');
DeleteFile('F:\WINDOWS\Temp\1.tmp');
DeleteFile('F:\WINDOWS\Temp\5.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.
[/code]

После перезагрузки:
-Сделайте повторные логи по правилам.
-Закачайте карантин по ссылке [url]http://virusinfo.info/upload_virus.php?tid=31206[/url] (Приложение 3 правил).

Скрипт выполнил, но пришлось редактировать 17 строку (скрипт не запускался):
было DeleteFile('f:\windows\temp\'*');
стало DeleteFile('f:\windows\temp\*');

Файлы карантина закачал.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\system32\DRIVERS\PowerManager.sys','');
QuarantineFile('PowerManager.sys','');
QuarantineFile('F:\WINDOWS\Temp\1.tmp','');
DeleteFile('F:\WINDOWS\Temp\1.tmp');
DeleteFile('PowerManager.sys');
DeleteFile('F:\WINDOWS\system32\DRIVERS\PowerManager.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('PowerManager');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.

Скрипт выполнил.
Папки очистил, но один файл с вирусом в папке Windows/temp не удаляется - сообщение что он используется.
Карантин закачал, новые логи прилагаю.
ПС: Вы просите выключать антивирус. У меня НОД32, убрал его из автозагрузки, но своё ядро он всё равно грузит. Ничего с ним сделать не могу. :?

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
QuarantineFile('F:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('ForcewareWebInterface.sys','');
QuarantineFile('nSvcLog.sys','');
QuarantineFile('nSvcIp.sys','');
DeleteFile('F:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('F:\WINDOWS\Temp\6.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил

После выполнения скрипта в логе AVZ:

Ошибка карантина файла, попытка прямого чтения (ForcewareWebInterface.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (nSvcLog.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (nSvcIp.sys)
Карантин с использованием прямого чтения - ошибка

Этих файлов в карантине нет.

попробуйте их прислать согласно приложения 2 правил

Искал ForcewareWebInterface.sys, nSvcLog.sys, nSvcIp.sys на диске при помощи AVZ. Не нашёл :(

тогда логи повторите ....

Новые логи

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('nSvcLog');
BC_DeleteSvc('nSvcIp');
BC_DeleteSvc('ForcewareWebInterface');
DeleteFile('f:\windows\temp\3.tmp');
DeleteFile('F:\WINDOWS\Temp\1.tmp');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи

Новые логи.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\Temp\9.tmp','');
QuarantineFile('F:\WINDOWS\Temp\7.tmp','');
QuarantineFile('F:\WINDOWS\Temp\5.tmp','');
QuarantineFile('F:\WINDOWS\Temp\1.tmp','');
DeleteFile('F:\WINDOWS\Temp\1.tmp');
DeleteFile('F:\WINDOWS\Temp\5.tmp');
DeleteFile('F:\WINDOWS\Temp\7.tmp');
DeleteFile('F:\WINDOWS\Temp\9.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('PowerManager');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.

Новые логи.
Карантин залил.
Маленькие заметки:
Удалять файлы из windows/temp можно, но кроме одного .tmp - того который был создан после последней перезагрузки. Его нельзя удалить никак. При просмотре утилитой процессвьюер видно что он используется только winlogon.
Даже если очистить папку windows/temp при загрузке из другой винды, они всё равно воскресают. Но при загрузке из другой системы в данной папке обнаруживается ещё файл .dll (при загрузке заражённой системы его нет, есть только файлы .tmp и .sys - кстати, и нод32 и онлайн проверка на сайте касперского однозначно определяют .sys как вирус, а AVZ его игнорирует)

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи по правилам.

Новые логи.

[url]http://virusinfo.info/showthread.php?t=15927[/url] - нужно выполнить.
[url]http://www.gmer.net/index.php[/url] - скачайте и сделайте полную проверку. Лог-в студию.
[url]http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html[/url] -скачайте и сделайте полную проверку. Лог-в студию.

Посмотрите, если ли у Вас такие каталоги, и, если есть, то напишите имена файлов, которые там есть:
F:\Settings\
F:\documents and settings\all users\Documents\settings\
Каталоги и файлы в нем имеют атрибут "скрытый", поэтому если отключена, активируйте опцию показа скрытых системных файлов.

Программы качаю - как скачаю и протестирую сообщу результаты.

Каталога F:\Settings\ нет, в F:\documents and settings\all users\Documents\settings\ сейчас только desktop.ini, но когда-то там был обнаружен (и убит) какой-то вирь. Файл назывался что-то типа ABC (если память не изменяет). Но это было давно и после этого в этом каталоге ничего не появлялось.