Помогите вылечить компы

Добрый день!
С компьютеров идет паразитный трафик интернет (ушло за 2 недели 45Гб трафика, а обычно за месяц около 5). Проверка Антивирусом Касперского и DrWeb Cure it ничего не дала (все чисто).
Проверка AVZ выдала:
[CODE]Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 27.04.10 15:53:40
Загружена база: сигнатуры - 271855, нейропрофили - 2, микропрограммы лечения - 56, база от 26.04.2010 14:37
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 196312
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48D0 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 00145448
Disable callback - уже нейтирализованы
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A84D1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A84D1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89A2B500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89A2B500 -> перехватчик не определен
Проверка завершена
[/CODE]ВЫполнение правил запроса помощи уже первого пункта займет около 2-3 часов. Есть какие-нибудь мысли?!
Машина не одна такая в локалке, поэтому думаю напряжно будет на всех такое проделывать.

Посмотрите плиз логи.
virusinfo_cure.zip - имеется в наличии

GMER показал

GMER 1.0.15.15281 - [url]http://www.gmer.net[/url]
Rootkit quick scan 2010-04-27 16:53:33
Windows 5.1.2600 Service Pack 3
Running: 0xjfxgs2.exe; Driver: C:\WINDOWS\TEMP\kgtdapod.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 01: copy of MBR

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A84D1F8

AttachedDevice \FileSystem\Ntfs \Ntfs PGPfsfd.sys (PGP FSFD/PGP Corporation)
AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )

Device \FileSystem\Fastfat \Fat 89A2B500

AttachedDevice \FileSystem\Fastfat \Fat PGPfsfd.sys (PGP FSFD/PGP Corporation)
AttachedDevice \FileSystem\Fastfat \Fat amon.sys (Amon monitor/Eset )

---- EOF - GMER 1.0.15 ----

Очень прошу о помощи! Голову сломал уже самостоятельно пытаясь найти проблему.

Доброго времени суток
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\acqspaa.exe','');
DeleteService('RKPFQ');
QuarantineFile('C:\WINDOWS\TEMP\RKPFQ.exe','');
DeleteFile('C:\WINDOWS\TEMP\RKPFQ.exe');
DeleteFile('C:\WINDOWS\TEMP\acqspaa.exe');
DeleteFile('C:\Windows\Tasks\Error scan.job');
BC_ImportALL;
BC_DeleteSvc('RKPFQ');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам

Выполнил все, как Вы написали.

Проблема не решилась?

Решилась судя по всему. Я сам еще до Вашего ответа просмотрел логи от АВЗ и поудалял кое-что (system32\drivers\sppf.sys, sp**.sys), Win\TEMP чистил, но он опять нарастал грязью. За сегодня 300Мб исходящего трафика. Думаю тему можно закрыть, если в последних логах ничего не нашли.

[QUOTE='ElvisPresley;629339']кое-что (system32\drivers\sppf.sys, sp**.sys),[/QUOTE]
это драйвер от Daemon Tools.
выполните [URL="http://virusinfo.info/showthread.php?t=3519"]процедуру[/URL], описанную в первом сообщении.

[QUOTE=DefesT;629349]это драйвер от Daemon Tools.
выполните [URL="http://virusinfo.info/showthread.php?t=3519"]процедуру[/URL], описанную в первом сообщении.[/QUOTE]

Я его не устанавливал. Но то, что после удаления sp**.sys файлов еще sp**.sys файлы появлялялись и после нескольких танцев с бубнами больше сообщений от АВЗ при прогоне скана не было.

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

Файл сохранён как 100428_185911_virusinfo_files_ELVIS_4bd84d3fc048b.zip
Размер файла 17602564
MD5 08c7876c3ca2e9f42af8bfb935fc678f

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]