Не работают обновления, и постоянно перенаправляет на другие сайты.

Симптомы следующие:
1. Nod32, Outpost Firewall Pro, Windows Defender и Центр Обновления Windows перестали скачивать обновления.
2. Постоянно вижу подмену рекламы - вместо стандартных баннеров отображается реклама таблеток Vimax. Так же, иногда при случайном клике на сайте (не обязательно на ссылку) открывается попап (игнорируя попап-блокер в Опере) с рекламой.
3. Через фаерволл постоянно вижу в процессе svchost.exe трафик с ukrtelegroup.com.ua, и zlkon.lv - с процесса "Системный" (то есть имя процесса фаерволом не определяется). Любая попытка заблокировать этот трафик отключает интернет.
4. Только что заметил, после регистрации на сайте - картинки с kaspersky.ru не грузятся. Подозреваю что это тоже из-за действий вируса.

Что пытался делать:
- Обнаружил, что эта зараза подменила мне DNS-сервера. сбросил через ipconfig /release, ipconfig /renew.
- нашел файл C:/autorun.inf, прочитал что он пытается открыть - удалил оба файла. Последний опознался антивирусом как Kryptik.GH.
- через HijackThis нашел 4 зловредные записи, которые упоминают айпишник этой UkrTeleGroup - 85.255.112.***, пофиксил.

Вообще, по ощущениям, это то ли W32.Tidns (судя по описанию), то ли какой-то DNS Changer, но как с ним бороться - уже и не знаю, поэтому прошу помощи.

ЗЫ: Не могу загрузить один из файлов - слишком большой размер.

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys','');
QuarantineFile('\systemroot\system32\drivers\gaopdxlkdwtfdg.sys','');
DeleteFile('C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys');
DeleteFile('\systemroot\system32\drivers\gaopdxlkdwtfdg.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин AVZ (см. приложение 3 Правил) используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новые логи AVZ и приложите к этой теме.
Установите Adobe Acrobat Reader 9.1 или удалите старый.

Карантин отправил.
Базы обновил (вроде бы и так были последние)
Поскольку карантин забрал 2 файла из Windows Installer'a, он перестал работать, поэтому хоть проблема и исчезла (уже большое вам спасибо за это), но невозможно ни удалить/установить что-то (это касается Adobe Reader'a) ни скачать обновления для Винды/Дефендера, вернее качаются-то они качаются, но не устанавливаются.
Я временно достал их оттуда, но пр ипроверке они, разумеется, попали туда снова.
UPD: Заметил, что Нод32 поломался. Просто не открывается по нажатию иконки (иконка - красная)

[QUOTE=Dellirium;375745]Поскольку карантин забрал 2 файла из Windows Installer'a, он перестал работать
...
Я временно достал их оттуда, но пр ипроверке они, разумеется, попали туда снова.[/QUOTE]
Карантин AVZ ничего не забирает, файлы туда честно копируются, оригиналы остаются на месте. Удаляются только явно зловредные файлы. О каких файлах речь?

[QUOTE=pig;375804]Карантин AVZ ничего не забирает, файлы туда честно копируются, оригиналы остаются на месте. Удаляются только явно зловредные файлы. О каких файлах речь?[/QUOTE]
а, извиняюсь, я удалил их при проверке раньше :)
я так понимаю, их можно смело восстанавливать обратно?

Кого "их"? Не видя файлов, сказать ничего нельзя. Если CureIt с AVPTool на них не ругаются - значит, с очень большой вероятностью чистые, восстанавливайте.

Вредоносный файл один:
[B]C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys[/B] = Trojan.Win32.Tdss.unt (BackDoor.Tdss.73)
Похоже, его трупик лежит ещё лежит на диске.
Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url].
Запустите, слева внизу кнопка File.
Найдите файл
C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys
щелкните на нем правой кнопкой и выберите force delete.

[QUOTE=pig;375820]Кого "их"? Не видя файлов, сказать ничего нельзя. Если CureIt с AVPTool на них не ругаются - значит, с очень большой вероятностью чистые, восстанавливайте.[/QUOTE]
восстановил, не помогло.
[QUOTE=AndreyKa;375910]Вредоносный файл один:
[B]C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys[/B] = Trojan.Win32.Tdss.unt (BackDoor.Tdss.73)
Похоже, его трупик лежит ещё лежит на диске.
Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url].
[/QUOTE]
Через рапидшару не качается (у меня один ай-пи на мнооого абонентов), поэтому скачал [URL="http://majorgeeks.com/Icesword_d5199.html"]отсюда[/URL] (ссылку нашел в википедии, вроде как не олжно быть заражено :))
Однако, программа не открывается, даже если открывать правой кнопкой от имени администратора. Пишет "Initialize Failed". Проверил на другом компьютере (правда там ХР) - запускается.

Попутно переустановил нод32 на более новый. все равно не открывается.

[QUOTE=Dellirium;376252]
Однако, программа не открывается...,Пишет "Initialize Failed".[/QUOTE]
1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему и попробовать запустить IceSword

[QUOTE=Rene-gad;376258]1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему и попробовать запустить IceSword[/QUOTE]

Сейчас попробую, но в безопасном режиме (а это почти и есть безопасный режим) тоже самое было :(

[size="1"][color="#666686"][B][I]Добавлено через 48 минут[/I][/B][/color][/size]

Нет, тоже самое: Initialize Failed.

ап?

[QUOTE=Dellirium;376846]ап?[/QUOTE]Удалите файл как хотите - загрузка через LiveCD, через диск дистрибутива в консоли восстановления или перемонтируйте хард в другой ПК.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\gaopdxlkdwtfdg.sys - [B]Trojan.Win32.Tdss.unt[/B] ( DrWEB: BackDoor.Tdss.73 )[/LIST][/LIST]