SVCHOST, rundll vs. Trojan.Siggen.2002

Была открыта тема [url]http://virusinfo.info/showthread.php?t=38596[/url]

[QUOTE]Ситуация такова - по сети гуляет сие чудо. на компах стоят все обновы от M$. эпизодически в процессах появляются процессы rundll с указанием имени файла из набора букв. инфицирования не происходит, но процессы остаются висеть в памяти.
установлено DrWeb ES 4.44, брендмауэры на компах выключены
на 2003 и 2000 серверах такого не происходит - только на XP.
кто скажет - как бороться?

P.S. сеть на 70 компов + удаленные филиалы ~800 компов. все связано именно как сеть. несколько доменов АД. снаружи не лезет - cisco не пропустит. лезет скорее всего изнутри, но (!) - сканирование компов ничего не показывает - ни недоступных процессов, ни инфицированных файлов - НИЧЕГО... только Spider эпизодически кричит что какой-то комп инфицирован - удаляет следы инжектов. на моем лично компе - появляются процессы rundll32.exe nxdmuecq.zzj,zkdzcmd (имя всегда разное), процесс тупо висит в памяти, такого файла в системе нет, проверка сканером 4.44 и CureIt 5.0 самым свежим ничего не находит. Включен планировщик - задач не появляется.
я правда еще грешу на VMWare 6.0.4 build 93057 - может ли через нее пробовать ползти зараза?

P.P.S. виртуальных систем в VMWare не запущено, если и запускаются - то CentOS 5.5 или OpenSuse 11[/QUOTE]

согласно рекомендациям сделано - проверка AVZ, сбор HJackThis, логи прилагаются.
так же выложена инфо (получено через FAR) по создаваемому процессу rundll32.exe

так как форум не позволяет менять свои же сообщения и добавлять/удалять вложения - добавляю файлы в отдельном посте

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O15 - Trusted Zone: *.phcc.ru
O15 - Trusted Zone: *.qlcc.ru
O15 - Trusted IP range: 10.0.18.*
O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - C:\WINDOWS\abrakadabra.dll
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\abrakadabra.dll','');
DeleteFile('C:\WINDOWS\abrakadabra.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

все сделал.

И что теперь??? все советы кончились?

[B][COLOR="Red"]Восстановление системы: включено[/COLOR][/B] - почему не выключено?


-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
DeleteFile('msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите логию.

После лечения и фиксов комп умер. причем умер странно - при включении ActiveDesktop, входе в панель управления виснет глухо, исчезает рабочий стол. Под другой учеткой работает до тех пор, пока не включается active desktop.

решение было принято кардинальное - переустановка системы, т.к. двое суток с тупым компом мне работать нельзя было.

спасибо всем за помощь и советы.

P.S. глюки вылезли после фикса: O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97}

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]