HOSTS файл изменен, а вирусов не находит

Здравствуйте!

[b]Кратко:[/b]
Однозначно могу сказать одно, что HOSTS файл что-то меняет, добавляет строки типа:
127.0.0.1 [url]www.avira.com[/url]
127.0.0.1 [url]www.eset.com[/url]
127.0.0.1 [url]www.kaspersky.com[/url]

Свежие AVP TOOL и CureIt ничего не видят, и есть BSOD'ы
(минидампы в наличии)

[b]Подробно:[/b]
Soft:
Win XP SP3 + апдейты,
интернет через Wi-Fi к раутеру
Comodo Firewall

Сначала был внезапный BSOD на ровном месте, потом юзер перезагрузился
в Safe Mode. Поиск юзером в Safe Mode'е средствами Windows по маске *.exe
(искал CureIt на диске D:) привел к следующему BSOD'у (stop 0x0f (0,0,0,0)
UNEXPECTED_KERNEL_MODE_TRAP Divide by Zero Error)).
Потом компьютер перезагрузился в нормальном режиме и работал долго,
произошел следующий BSOD (0xD1 DRIVER_IRQL_NOT_LESS_OR_EQUAL).
После компьютер был выключен. Ждали моего приезда :(

Полтора часа Memtesta (2 прохода) - ошибок 0.
Тесты HDD c LiveCD - все прекрасно.
В LiveCD был запущен свежий CureIt - ничего не нашел.

Загрузились в винду. Запуск HijackThis, полет нормальный.
Посмотрел в HOSTS - он изменен. Удалил все 127.0.0.1.
Скачал AVZ, обновил его, COMODO выключил. Запуск AVZ привел
к перезагрузке(синего экрана не было, во всех других случаях был)
в System events запись о BSOD'е.

В HOSTS файле снова появились записи (127.0.0.1 ...)
Запускаю AVZ, COMODO при этом включен.
Отчет в файле virusinfo_syscure._with_HOSTS_file_is_changed.zip

Потом был еще один BSOD
Потом по просьбе юзера скачали свежий CureIt.
Просканировали диски из винды - ничего не нашли, кроме HOSTS файла.

Сегодня просканировали из Safe Mode свежим AVP Tool, с настройками
по максимуму для руткитов. Ничего не нашли.
Но после всех танцев сейчас HOSTS файл чистый.

Загрузились в винду сделали все как написано в шапке форума.
Отчеты: [URL="http://virusinfo.info/attachment.php?attachmentid=171044&stc=1&d=1256200868"][/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]

все сделал как в процедуре [url]http://virusinfo.info/showthread.php?t=3519[/url]
не обратил внимания - COMODO Firewall был включен.
надо ли переделать?

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

[QUOTE]Архив 091022_140340_virusinfo_files_HOME_4ae02dfc9645b.z ip, загружен 22.10.2009 14:20:21, размер 8444746 байт
Всего файлов: 18 (исполняемых 18), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 0
В очереди на добавление в базу безопасных:
высокий приоритет: 14
обычный приоритет: 4[/QUOTE]

вот ответ, что делать дальше?

Выполните в AVZ скрипт [url=http://df.ru/~kad/ScanVuln.txt]ScanWin.txt[/url] и приложите сюда файл c:\avz_log.txt.

После этого сделайте лог [url]http://virusinfo.info/showthread.php?t=40118[/url]

[QUOTE]Выполните в AVZ скрипт [URL="http://df.ru/%7Ekad/ScanVuln.txt"]ScanWin.txt[/URL] и приложите сюда файл c:\avz_log.txt. [/QUOTE]

Скрипт выполнил.

Отчет GMER'a
Большущий однако:>

Доброе утро, господа!
Что делать дальше?

[QUOTE=Dima_Odin;491777]Что делать дальше?[/QUOTE]Хмм, в общем-то - что хотите: в логах ничего подозрительного :).

Проблема осталась?

[QUOTE]Проблема осталась? [/QUOTE]
Hosts файл чист, но когда запустил RkU LE 3.8.380.580 SR1
Выдало сообщение
[QUOTE]Rootkit Unhooker has detected parasite inside itself!
It is recommended to remove parasite, okay?
Parasite type: Unknown remote thread
Thread ID: 2160
Priority: 8
Thread start address 0x00000000[/QUOTE]
После нажатия OK
[QUOTE]Error removing parasite, program integrity damaged[/QUOTE]
Нажал на выход.
После этого запустил установленный на компе RkU 3.8.341.552
Он ни на что не ругался. Быстро сделал скан.
Потом я запустил снова RkU LE 3.8.380.580 SR1. На этот раз он не ругался, запустился и сделал скан.

Как минимум это странно.

Во вторых в логе GMER'a
строки
[QUOTE]ntoskrnl.exe!_abnormal_termination + E0 804E273C 4 Bytes JMP 87F5CDF8
ntoskrnl.exe!_abnormal_termination + 15C 804E27B8 4 Bytes JMP E40AF5CD
ntoskrnl.exe!_abnormal_termination + 24C 804E28A8 4 Bytes JMP 82211E7A [/QUOTE]
на чистом компе таких строк нету (или это от COMODO Firewall?)

Логи RkU прилагаю.

ИМХО от Комода. Можете для чистоты его снести и попробовать сделать логи без него.

Снес COMODO Firewall.

GMER ничего не нашел. Пустой report.
RkU что-то видит.

Gmer не может быть пустым, если все сделано по правилам. Т.е. все нужные галочки поставлены, нажата кнопка скан и т.д.
В логе RKu ничего подозрительного.

[QUOTE]Gmer не может быть пустым, если все сделано по правилам. Т.е. все нужные галочки поставлены, нажата кнопка скан и т.д.[/QUOTE]

Вот пожалуйста. Пусто :>

Пока все чисто и спокойно.
Спасибо за помощь.

Тему можно закрывать.