Подозрение на Kido

День добрый уважаемые! Прошу Вашей помощи. Есть небольшая сетка организации. Один сервак W2K3 R2 и десяток компов ХР SP3. Стоит везде ДрВеб 4.44, обновление ежедневное. На всех компах автообновление. Фаеры встроенные - только на ХР. Уж незнаю, как произошло заражение, но скорее всего через флеху - это дело безконтрольное... На двух компах заметил сообщения о вирусе [B]Worm.Win32.[/B][B]Autolt[/B] - лечение невозожно - удален. После этого произвел чистку на всех компах посредством крайнего CureIt. Проверил и вычистил реестр от остатков. Вроде все нормуль, но.... инет повел себя странно. Некоторые сайты не открываются. Причем не обязательно с антивирусным направлением. К тому же ДрВеб обновляется без проблем. На сайт Касперского не зайти вообще. На сей глубокоуважаемый сайт пускает только на главную страницу. Ну и т.д. в том же духе. Провел поиски информации - подобными вещами "балуется" [B]Kido[/B]. Начал планомерные поиски зверька с сервака. Результаты поражают: DrWeb-0, CureIt-0, AVPTool-0, AVZ-0, KKiller_v3.4.1-0, f-downadup-0, FixDwndp-0, AviraTool-0. Начали мучать подозрения - то ли лыжи не едут, то ли я..... Никаких длл, реестр не загажен, как в описываемых симптомах. Отключил DNS-клиент и 445 порт, пользовательские шары только на чтение, административные - вообще вырубил (правда после перезагрузки они опять восстанавливаются), остался только IPC$ - но он не удаляется... Потом запустил APS - на UDP-53 наблюдаются атаки по 5 мин с интервалом 30 мин с самого же себя, т.е. с 127.0.0.1 на 127.0.0.1:53 ... Пробывал исправить записи винсок32 с %SYSTEM%\... на явныные ссылки C:\WINDOWS\... Ошибки в AVZ по SPI\LSP уже не показывает, но инет отпал совсем. Делал сброс winsock и ip через Netsh.
Когда начал сканировать GMER в "Драйверах устройств не PnP" появляется драйвер aujasnkj (C:\Documents and Settings\Sysadmin\Local Settings\Temp\aujasnkj.sys). Но естественно по этому пути ничего нет. Также появляются записи в реестре о aujasnkj.После перзагрузки все исчезает. При сканировании RkU3.8.342.554 в логах появляется инфа о 4pJuC60p.sys вот только как выцепить его...? Снял с него дамп на всякий случай.
В общем тупик... Помогайте пожалуйста.

Приложение собственно....

[quote=log]AVZ запущен из терминальной сессии (RDP-Tcp#1)[/quote]
Логи надо делать с консоли.
Скачайте файл [url]http://rapidshare.com/files/199106177/toto.pif[/url] (это более свежая версия AVZ, но в ней не обновляются базы). Сохраните его в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.

К сожалению я управляю сейчас на дистанции. Но логи проверял и локальные - ничем не отличаются. Этот сервачек терминальный и по-этому неразбериха с путями (подставляется путь локального профиля). Попросил чела сделать проверку на месте. Лог прилагаю.

Поменяйте местами DNS сервера в настройках (83.239.128.30 и 83.239.131.8 ). Больше идей нет :(

[quote=AndreyKa;380601]Поменяйте местами DNS сервера ...[/quote]
Мда... Улыбнуло... как-то печально...

Зверек на все еще на месте и усиленно мутирует. Те службы зверька, о котрых я писал в первом посте уже не проявляются... В просмотре событий по системе появились такие записи:
-------------------------------------------------------
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7034
Дата: 31.03.2009
Время: 23:06:31
Пользователь: Н/Д
Компьютер: SRV-LIB01
Описание:
[B]Служба "1C1C6EDB"[/B] неожиданно прервана. Это произошло (раз): 1.

Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7035
Дата: 31.03.2009
Время: 23:06:40
Пользователь: SRV-LIB01\admin
Компьютер: SRV-LIB01
Описание:
[B]Служба "1DA22C68"[/B] успешно отправила управляющий элемент "запустить".

Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7036
Дата: 31.03.2009
Время: 23:07:09
Пользователь: Н/Д
Компьютер: SRV-LIB01
Описание:
[B]Служба "1DA22C68"[/B] перешла в состояние "Работает".


Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7036
Дата: 31.03.2009
Время: 23:07:11
Пользователь: Н/Д
Компьютер: SRV-LIB01
Описание:
[B]Служба "1DA22C68"[/B] перешла в состояние "Остановлена".

Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7035
Дата: 31.03.2009
Время: 23:07:11
Пользователь: SRV-LIB01\admin
Компьютер: SRV-LIB01
Описание:
[B]Служба "1DA22C68"[/B] успешно отправила управляющий элемент "остановить".
--------------------------------------------------------------

Естественно, таких служб не зарегистрировано... :(

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 45 минут[/I][/B][/color][/size]

Повторюсь.
При сканировании RkU на закладке Drivers вижу ''левый'' as02C98z.sys (месторасположение как бы в темповой папке профиля пользователя)
Этого файла на диске нет. Снял с него дамп. Вчера было другое название у этого файла. При просмотре дампа через блокнот видно упоминание о DrWeb, имеются ключи реестра, которых на самом деле не видно...

Может выслать его вам? Я не спец в дампах, но может Вам будет понятнее???

Загрузите дамп в zip архиве с паролем virus через форму:
[url]http://virusinfo.info/upload_virus.php?tid=42898[/url]

Ок.
Файл сохранён как 090401_123757_Dumped_as02C98z_49d327e58c582.zip

Этот файл поврежден.

В смысле архив или сам дамп?

Дамп, хотя по сути дамп это и есть битый файл, но с аналитиком не поспоришь :)

mdisel, Вы прислали дамп драйвера DwShield. Он используется сканером DrWeb для борьбы с руткитами и пр.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]