Вражина в системе?

Добрый день.
У меня вот такая проблема. Сначала я заметил, что у меня в корне дисков плодятся autorun.inf, поэтому и решил заняться проверкой системы. Сначала Каспер (8.0.0.454) у меня ничего не находил, но позже начал находить Trojan-Downloader.Win32.Small.jqv, Trojan.Win32.Agent2.kma (а также на конце agent.clxm.), а также Trojan-Downloader.Win32.FraudLoad.epp, и один раз нашел подобное BackDoor.Tdss.119 (я по началу не обратил на это внимания, поэтому точно не помню какой там в конце был номер). Теперь он не находит ничего. Я провел полную проверку в защищенном режиме (drweb cure it), тоже ничего не дало. Тогда я создал PE диск и провел проверку загружаясь с него. В папке RECYCLER был обнаружен BackDoor.Tdss.119, причем на всех дисках, т.к. я его уже от дуда удалял думаю в моей системе до сих пор живет какая-то вражина.
Пожалуйста помогите разобраться.

Выполните скрипт:

[CODE]begin
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
Повторите логи...

Выполнил.

Хочу еще добавить, если попытаться отключить Адаптер по которому выхожу в инет то теперь пишет: "Невозможно отключить адаптер в данный момент. Возможно, данное подключение один из протоколов, которые не поддерживают "Plug-and-play", либо оно было инициировано другим пользователем или системной учетной записью". Но совсем недавно все отключалось нормально.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.140,85.255.112.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.140,85.255.112.132
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.19,85.255.112.120
O17 - HKLM\System\CS2\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.19,85.255.112.120
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.112,85.255.112.212
O17 - HKLM\System\CS3\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.112,85.255.112.212
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.63,85.255.112.87
O17 - HKLM\System\CS4\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.63,85.255.112.87
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.110,85.255.112.229
O17 - HKLM\System\CS5\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.110,85.255.112.229
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CS6\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.226,85.255.112.96
O17 - HKLM\System\CS7\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.226,85.255.112.96
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.112.120,85.255.112.83
O17 - HKLM\System\CS8\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.120,85.255.112.83
O17 - HKLM\System\CS9\Services\Tcpip\Parameters: NameServer = 85.255.112.122,85.255.112.154
O17 - HKLM\System\CS9\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.122,85.255.112.154
O17 - HKLM\System\CS11\Services\Tcpip\Parameters: NameServer = 85.255.112.170,85.255.112.235
O17 - HKLM\System\CS11\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.170,85.255.112.235
O17 - HKLM\System\CS14\Services\Tcpip\Parameters: NameServer = 85.255.112.75,85.255.112.95
O17 - HKLM\System\CS14\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.75,85.255.112.95
O17 - HKLM\System\CS15\Services\Tcpip\Parameters: NameServer = 85.255.112.121,85.255.112.123
O17 - HKLM\System\CS15\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.121,85.255.112.123
O17 - HKLM\System\CS16\Services\Tcpip\Parameters: NameServer = 85.255.112.132,85.255.112.188
O17 - HKLM\System\CS16\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.132,85.255.112.188
O17 - HKLM\System\CS17\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS17\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.87,85.255.112.195
O17 - HKLM\System\CS18\Services\Tcpip\Parameters: NameServer = 85.255.112.121,85.255.112.123
O17 - HKLM\System\CS18\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.121,85.255.112.123
O17 - HKLM\System\CS19\Services\Tcpip\Parameters: NameServer = 85.255.112.166,85.255.112.67
O17 - HKLM\System\CS19\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.166,85.255.112.67
O17 - HKLM\System\CS20\Services\Tcpip\Parameters: NameServer = 85.255.112.5,85.255.112.107
O17 - HKLM\System\CS20\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.5,85.255.112.107
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
QuarantineFile('C:\DOCUME~1\Vithin\LOCALS~1\Temp\gAGP440p.sys','');
end.
[/CODE]

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8

Если вышеописанные процедуры не помогут
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]

Извините, я после перезагрузки (после фикса в HiJack), сбился с порядком действий и сначала очистил темп папки, а уже потом запустил скрипт. Поэтому карантина у меня нету.

По моему не помогло. Только что запустил Каспера на проверку папки RECYCLER на диске Е: он ничего не нашел, но Cure It под ЛайфСд в той же папке находит BackDoor.Tdss.119 7-8 копий.

Зато теперь я могу отключаться от сети не только выдергиванием шнурка, но и програмно.

[QUOTE=Vtii;416824]
Только что запустил Каспера на проверку папки RECYCLER на диске Е: он ничего не нашел, но Cure It под ЛайфСд в той же папке находит BackDoor.Tdss.119 7-8 копий.[/QUOTE]Диск Е - не системный, в логах не фигурирует. Отключите RECYCLER на диске Е:
[QUOTE=Paul]Пуск - Выполнить - cmd

На NTFS: rd /s e:\recycler

Будет вопрос - 'Вы уверены, что хотите удалить Корзину?' Выбираем 'Y', и перезагрузим комп.
Так как корзина системный файл, новая корзина создаётся после перезагрузки.

P.S.:
RD /s = удалить все файлы и папки, включая корневую папку
RD = DELTREE
[/QUOTE]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('gAGP440p');
StopService('aswArKrn');
QuarantineFile('C:\DOCUME~1\Vithin\LOCALS~1\Temp\aswArKrn.sys','');
QuarantineFile('C:\DOCUME~1\Vithin\LOCALS~1\Temp\gAGP440p.sys','');
DeleteFile('C:\DOCUME~1\Vithin\LOCALS~1\Temp\gAGP440p.sys');
DeleteFile('C:\DOCUME~1\Vithin\LOCALS~1\Temp\aswArKrn.sys');
DeleteService('aswArKrn');
DeleteService('gAGP440p');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc(('aswArKrn');
BC_DeleteSvc(('gAGP440p');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Вот такой вот результат.
Карантин выслал.

Пофиксить строчку забыли?
В остальном все в порядке.
Какие-то проблемы остались?

Нет, на этот раз я ничего не забыл. Действовал четко по пунктам.

[QUOTE=Bratez;416996]В остальном все в порядке.
Какие-то проблемы остались?[/QUOTE]
:)

Обязательно отпишусь, когда Вэбером под ЛайфСД диск С проверю.

[size="1"][color="#666686"][B][I]Добавлено через 8 часов 16 минут[/I][/B][/color][/size]

Вроде все нормально. Спасибо за оказанную помощь. Отдельное спасибо за оперативность.

А на эту фигню забить?
[quote]O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)[/quote]

[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]

Вроде все нормально. Спасибо за оказанную помощь. Отдельное спасибо за оперативность.

А на эту фигню забить?
[quote]O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)[/quote]

[QUOTE=Vtii;417060]
А на эту фигню забить?[/QUOTE]Да. Тут см. [URL="http://www.systemlookup.com/search.php?type=clsid&search={31FF080D-12A3-439A-A2EF-4BA95A3148E8}+&s="]инфу[/URL].

[QUOTE=Vtii;417060] Спасибо за оказанную помощь. Отдельное спасибо за оперативность.[/QUOTE] Спасибо у нас нажимают ;) [IMG]http://virusinfo.info/images/buttonsru/post_thanks.gif[/IMG]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]