Хитрый вирус stacsv.exe

Сетка из 5 компов, везде стоит avira. На одном из компов GPRS-модем, настроен общий доступ. Еще на 3-х компах он настроен шлюзом, т.е. инет есть на 4-х компах из 5-и.
Неделю назад на всех компах с инетом авира стала показывать, что статус защиты - неизвестно. Также появились дополнительные признаки наличия вирусов в системе: в течении нескольких секунд после запуска закрывается ряд программ типа cmd, avz4.
В avz4 активировал guard и смог запустить проверку. Нашел только один скрытый процесс, файл c:\windows\system32\stacsv.exe
так же в c:\windows\system32\ обнаружил что дата изменения svchost.exe также текущая. + еще несколько файлов с мутными именами вроде qxzv5.exe и той же датой создания.
В реестре stacsv.exe присутствовал в нескольких ветках, и заново их пересоздавал после удаления.
С загрузочного диска грохнул все эти файлы с измененной датой в c:\windows\system32\ почистил реестр и заменил svchost.exe на оригинальный.
После перезагрузки пришлось переставить авиру, т.к. сразу не заработала. Потом все ок, вручную обновил базу для нее.
Но только стоило выйти в инет, как авира опять сошла с ума: куча вирусов: avira.txt прилагаю. И после ребута она опять со статусом неизвестно. В c:\windows\system32 опять stacsv.exe, НО ДРУГОГО РАЗМЕРА!!!
С собой был только avz4, его логи прилагаю.
Если кому интересно, то есть 2 файла stacsv.exe с разными размерами, но сдается мне что источник заражения не в них.

Прошу помочь разобраться.

1.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\Drivers\rrpyrhzc.sys','');
QuarantineFile('c:\windows\system32\stacsv.exe','');
QuarantineFile('C:\Documents and Settings\v\fwgupaw.exe','');
QuarantineFile('C:\WINDOWS\Temp\tmp263.exe','');
QuarantineFile('C:\Documents and Settings\v\Local Settings\Temporary Internet Files\Content.IE5\016BK9Q7\c1[1]','');
QuarantineFile('C:\WINDOWS\Temp\tmp898.exe','');
QuarantineFile('C:\WINDOWS\Temp\tmp263.exe','');
QuarantineFile('C:\WINDOWS\Temp\tmp209.exe','');
QuarantineFile('C:\WINDOWS\system32\r_server.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ClearHostsFile;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

2. - [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]

3. - cделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.1 - 3 раздела Диагностика.(virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log)

Спасибо за помощь.
Все сделал только на одном из компьютеров.
После выполнения скрипта и перезагрузки в системе обнаружилось новое устройство, драйвер автоматом не встал...
AVZ перестал закрываться, Авира не заработала.
В c:\windows\system32\ несколько файлов с новой датой, в том числе svchost.exe. Все эти файлы также добавил в карантин (в папке 1 внутри архива).
При выполнении п.2 раздела Диагностика, а именно при подключении к интернету, по привычке проверил связь (gprs лагает постоянно) командой пинг. Ip резольвится, но ответов нет совсем. При этом в IE сайты открывались... Также наблюдалась сетевая активность при при видимом бездействии.

В целом делаю вывод, что вирус накачал с инета себе товарищей, теперь им там совсем весело...

После всего проделанного пришлось снова подключить компьютер к сети (рабочая необходимость). Т.е. есть вероятность повторного заражения уже залеченными вирусами. Поэтому прошу уточнить: вместе с новыми скриптами старый тоже выполнять?
П.С.: ссылка на "правила" теперь ведет на какой-то "911test"

[QUOTE=maxim555;583943]
П.С.: ссылка на "правила" теперь ведет на какой-то "911test"[/QUOTE]
изменились правила оформления запроса

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы - только то что было в папке Quarantine? без ваших файлов... отправьте еще раз...

закачал

c:\windows\system32\ несколько файлов с новой датой, в том числе svchost.exe. Все эти файлы также добавил в карантин (в папке 1 внутри архива).

сейчас напишу скрипт... подождите:)

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\f801d7.exe
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\v\xkgxscv.exe','');
QuarantineFile('c:\windows\system32\f801d7.exe','');
DeleteFile('c:\windows\system32\f801d7.exe');
QuarantineFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0075188.exe:exe.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0072277.exe:exe.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0072222.exe:exe.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0071070.exe:exe.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rrpyrhzc.sys','');
DeleteFile('c:\windows\system32\f801d7.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0071070.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0072222.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0072277.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{2E36D872-E501-48C5-8A61-4C5CCB0358B7}\RP454\A0075188.exe:exe.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы


после сделать такое
Пуск - Выполнить - sc delete ICF

- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

в карантин прислать только то что заархивирует AVZ - свои файлы не запаковывать дополнительно!!!!

Правила хорошо бы вернуть, а то все по правилам надо делать, а их сейчас нет... Что делать? Ладно я их сохранил заранее :D. А как же другие ищущие помощи?
И вопрос по теме: svchost на оригинальный заменять? Судя по дате он мог быть модифицирован вирусом.

пока нет. Сделать все как написано и выслать карантин

В общем вирусы диктуют свои правила игры...
Компьютер на котором проводился эксперимент, а также еще один в придачу, перестали запускаться совсем. Синий экран и 0x00000050.

Пришлось загрузиться с livecd и с помощью erd commander сделать откат системы на последнюю точку сделанную перед заражением (возможно активацией) вируса. Надо добавить, что вирус отключил восстановление, но точки, созданные ранее, остались. Заодно посмотрел что происходит в систем32: там с десяток новых вирей уже поселился с разными именами и даже иконками, но все с новой датой.
На одном из компов авира не завелась после восстановления (возможно вирус уже присутствовал в этой точке восстановления).

Для экспериментов оставил один комп, только отключил его от сети.
Симптомы те же - вырубает AVZ.
Сделал только стандартные скрипты в AVZ для сбора инфы.
Хайджеком не фиксил, т.к. не нашел там ничего похожего. Логи хайджека на флешку не записал, протупил.
Запомнил только что файл host содержит много лишних записей на один ip.

После лечения-сбора информации и перезагрузки, было обнаружено новое устройство, драйвер автоматом не встал. При подключении инета пинга нет, в браузере инте есть.
Еще раз прошу обратить внимание что компьютер другой.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\stacsv.exe');
DeleteFile('C:\WINDOWS\system32\stacsv.exe');
DeleteFile('C:\RECYCLER\S-1-5-18\Dc2.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{BC57D795-DF8F-42FC-A48D-AF93702A8CAF}\RP29\A0005871.exe:exe.exe:$DATA');
DeleteFile('C:\RECYCLER\S-1-5-18\Dc2.exe:exe.exe');
DeleteFile('C:\System Volume Information\_restore{BC57D795-DF8F-42FC-A48D-AF93702A8CAF}\RP29\A0005871.exe:exe.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\r_server.exe - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.22[/B][*] c:\windows\system32\stacsv.exe - [B]Trojan.Win32.Agent.dhml[/B] ( DrWEB: BackDoor.IRC.Sdbot.8136 )[*] \1\f801d7.exe_ - [B]Trojan-Spy.Win32.Agent.bdcb[/B] ( DrWEB: Win32.HLLW.Lime.5, BitDefender: Trojan.Spammer.ABR, NOD32: Win32/Peerfrag.EV worm, AVAST4: Win32:Refpron-AZ [Trj] )[*] \1\qxzv5.exe_ - [B]Backdoor.Win32.IRCBot.nnr[/B] ( DrWEB: BackDoor.IRC.Bot.217, BitDefender: Trojan.Agent.AOOA, NOD32: Win32/AutoRun.IRCBot.DZ worm )[*] \1\secupdat.dat - [B]Backdoor.Win32.Cetorp.p[/B] ( DrWEB: Trojan.Spambot.7965, BitDefender: Backdoor.Tofsee.AM )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]