Помогите-win32/agent.odg

Здравствуйте,прошу содействия с этой бякой.
Ситуация следующая :При смене антивируса с nod 2.7 версии +agnitum фаервола последней версии на нод 4 версии и фаервол comodo.
Обнаружился в оперативной памяти вирус win32/agent.odg (по сообщению сканера нода).и что очистка невозможна.
Имеющаяся до этого защита не выявляла данного субъекта при регулярных полных проверках+ dr.web cure it! 1-2 раза в месяц.

Замеченные вередоносные действия-
-обрыв открытых интернет соединений,
-в браузере оперы вместо адресной строки ,
появляются произвольно надписи testtestesttesst ,
-проблемы со скачиванием файлов через майл агент или icq -невозможно принять,
-ссылки на сайтах не открываются или выбрасывается на рефер -сайт gogle или westbyte(download master),качать удается через total commander по прямой ссылке.
-Обновление программ не работает,сайты обновления windows,
-не открывается ряд сайтов по безопасности .
Следую согласно вашей инструкции.
Проверка AVPTool -не принесла результата.(лог есть если понадобиться)
Надеюсь на вашу помощь.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=43110[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Сделал,как сказали,вроде помогло.Нод 32 больше не ругался на вирус,программы стали обновляться,сайт виндовса открывается.
Но при обновление ядра нод обнаружил еще схожий вирус ,правда уже очистил и удалил win32/trojanclicker.agent.nff (содержащийся в system 32 и system32/driver -msqpdxjskyenxo.dll и .sys).
Может нужны еще проверки от скрытой угрозы?Или все чисто?
файл который очистил скрипт AVZ выслал по форме.

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
DelBHO('{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}');
QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=43110[/URL]

3. Повторите лог [B]virusinfo_syscheck.[/B]

Карантин выслал,новый лог приложил.
Нод опять нашел аналогичный вирус-троян в системной папке 32 и драйверах,видимо что-то их загружает.
Еще после удаления askbara ,загрузка пользователя в обычном режиме идет, ну очень ,долго -минут 15-20 и потом не видно строки запуска и рабочего стола,только диспетчер задач можно запустить ктрл+альт+дел и все.
В безопасном режиме проблем нет,программы работают и скорость не теряется.Как это исправить?
В логах больше нет аномалий?

[QUOTE=Lumini;382589]
Нод опять нашел аналогичный вирус-троян в системной папке 32 и драйверах,видимо что-то их загружает.[/QUOTE]Сделайте 2 лога в АВЗ и лог Хайджека.

Новые логи приложил.Проверился еще утилитой от gmer ,он обнаружил опять гражданина msqpdxynmylyax.sys в сервисах и драйверах +ключи в реестре.в режиме спрятанного процесса.

Заглянул в AVZ посмотрел карантин и папку инфицированных файлов-он оттуда пропал!?(может когда я его архивировал для передачи вам,отправляется сам оригинал ,а копия не остается?).
Откуда он опять появился-то ,гад.=(

Приложите лог gmer...

Вот лог -gmer.Что дальше делать?

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:

[CODE]C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys
C:\WINDOWS\system32\msqpdxjskyenxo.dll[/CODE]

правая кнопка мыши Force Delete на запрос ответьте положительно.

[COLOR="Red"]После удаления файлов перезагрузитесь![/COLOR]

Затем зайдите в раздел "Registry", по "My computer" нажмите правой кнопкой "Find Text" и введите:

[CODE]msqpdxserv[/CODE]

Все что найдет удалить правой кнопкой "Delete", после каждого найденного ключа для того, чтобы продолжить поиск нажимайте по "My computer" правой кнопкой и выбирайте "Find Next"...

Перезагрузитесь и повторите лог Gmer.
[URL="http://virusinfo.info/showthread.php?t=39413"]
Как искать и удалять ключи реестра с помощью IceSword[/URL]

Не могу запустить IceSword ,пишется open device failed ,error code :1073741762 . Initialize failed

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys','');
QuarantineFile('C:\WINDOWS\system32\msqpdxjskyenxo.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys');
DeleteFile('C:\WINDOWS\system32\msqpdxjskyenxo.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=43110[/URL]

3. Повторите лог Gmer.

Скрипт выполняется,но карантин не ловится в папке пусто.
Скрипт как я заметил выполняется с ошибками,AVZ Guard не запускатся и
msqpdxserv.sys -ошибка прямого чтения.

в AVZ установлен мастер расширенного наблюдения,раньше гвард включался,а теперь нет.Пробовал и вручную включать и удалять AVZ c ключами по скрипту и заново запускать.Ошибка активации режима и все.
Пробовал по справке :использовать лечение и включать kernel и user mode.Не помогает.
Соотвественно gmer выдает тотже результать ,что и раньше в посте.
Может через gmer удалить эти зловреды? или есть скрипт для отладки AVZ?

Скрипт упростила. Попробуйте еще раз.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[quote=Lumini;383036]Может через gmer удалить эти зловреды?[/quote]

После запуска Gmer, Вам необходимо нажать на клавишу [B]«>>>»[/B] для отображения дополнительных функций программы.

Выбрать вкладку [B]Files[/B]. Появится аналог проводника. Найдите

[CODE]C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys
C:\WINDOWS\system32\msqpdxjskyenxo.dll[/CODE]

и нажмите [B]Delete[/B] для удаления.

Подтверждаем выбранное действие, нажимая [B]Да[/B]([B]Yes[/B]).

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Перезагрузитесь и повторите лог Gmer.

Скрипт запустил.Карантин снова пуст.Gmer при экспресс проверке не выдает скрытого процесса,но при поиске в файлах
C:\WINDOWS\system32\drivers\msqpdxynmylyax.sys
C:\WINDOWS\system32\msqpdxjskyenxo.dll
не обнаружено.

При полном сканировании есть msqpdxserv.sys в сервисах
и куча ключей с такими переменными в реестре.
во всех ветках 0-17 'HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys
Попробовал удалить сервис,появились какие-то предупреждения об угрозе windows и в итоге ошибка отказа действия ,но из списка он пропал.
Посмотрю что будет после перезагрузки.
msqpdxynmylyax.sys -у меня есть в архиве после первой ловли,могу еще раз переслать если нужно.

Этого уже нет.

[quote]---- Services - GMER 1.0.15 ----

Service system32\drivers\msqpdxynmylyax.sys (*** hidden *** )[/quote]Теперь попробуйте удалить ключи в реестре с помощью Ice Sword или regedit.

Еще вариант [URL]http://virusinfo.info/showthread.php?t=42802[/URL]

После проверки выбираем "Fix now" и перегружаемся.

Как все удалите повторите лог Gmer.

Реестр почистил.Логи сделал ,gmer более ничего вроде не находит,а вот утилита от аваста нашла в реестре скрытые ключи еще 18 штук ,непонятных каких-то(лог приложить не могу он весит около 12 мб.)
Hidden registry items found: 18
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProperties\PrivateProperties\Midi\Ports\Y%Q
NIQBN ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProperties\PrivateProperties\Midi\Ports\Y%Q
NIQBN \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProperties\PrivateProperties\Midi\Ports\Y%Q
NIQBN \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet015\Control\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I \Out] DMPortGUID=(binary value) **HIDDEN**
скопировал из лога.
это опасные элеметы?
Еще при нажимании на ссылки ,происходит редирект на сайт [url]http://www.westbyte.com/dm/[/url]
как это убрать?
зайти в обычом режиме пользователя все еще не могу,длительная загрузкаи потом пустой экран с указателем мышки,диспетчер задач по ктрл+дел+альт и все.

Запакуйте лог и загрузите сюда [url]http://rapidshare.ru/[/url]

aswaro.zip
[url]http://www.rapidshare.ru/995684[/url]
лог аваст-антируткита.

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 14 минут[/I][/B][/color][/size]

Проблема с загрузкой и режимами решена-деинсталировал фаервол CoMODO один из его элементов guard32.dll попала в карантин AVZ.
Вопрос со скрытыми ключами в аваст и отсылкой на download master остается.

В логе Gmer чисто.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Lumini;383326]Вопрос со скрытыми ключами в аваст и отсылкой на download master остается.[/QUOTE]
Эти ключи угрозы не представляют. DM установлен на компьютере?