Непонятная проблема с Brontok.Q

Добрый день, уважаемые.
Столкнулся сегодня с проблемой. Подхожу утром к компу - вижу сообщение NOD'а об обнаружении сабжа... После просмотра десятка таких сообщений отключил вывод и стал смотреть лог Нода. В итоге нашлось несколько тысяч этой дряни. Назывались экзешники, как вы понимаете, по имени папки.
Загрузился с загрузочного диска, запустил AVZ - он вычистил еще некоторое количество этого.
Полез читать описания - но остальные симптомы у себя не обнаружил, ни в docs&settings, ни в windir - ничего нет. Авз тоже ничего не находит.
Но при одном из сканирований авз сказал, что обнаружил какой-то руткит. Больше это ни разу не повторялось.

Через час-два нод опять заорал, и опять стал удалять туеву хучу этих файлов. Повторил процедуру, поизучал авз-шные отчеты - ничего интересного не обнаружил.

Снес нода, поставил каспера .411. Вычистил. Через полчаса - снова.
Т.е. кто-то их туда начинает копировать. Но никто не видит кто. Сисинтерналовский руткит-ревилер ничекго не видит. Авз один раз ругнулся на подмену имени у файрфокса, один раз на подмену имени у actviesync.

Прочитал все похожие темы тут - симптомы совпадают лишь частично. Через некотрое время вдруг отрубается запуск любых приложений. Ребут от этого лечит.

Снова все вычистил, поставил файрволл, сижу жду..

У кого какие идеи есть? Где может сидеть эта дрянь?

Заранее спасибо :)

Вот, опять появилось в АВЗ

[I]Видимый процесс с PID=2432, имя = "\Device\HarddiskVolume1\PROGRA~1\MOZILL~1\firefox.exe"
>> обнаружена подмена имени, новое имя = "c:\program files\mozilla firefox\firefox.exe"[/I]

srescan.sys - это что ? в прошлый раз , человек не смог к нам его прислать . Попробуйте любым методом .

isafe.exe- это антивирус от esafe , его нужно отключить .Возможно из-за него глюки .
C:\WINDOWS\system32\r_server.exe - сами ставили ? возможно через него вам засаживают .

Это просто AVZ линные имена директорий не понравилось.
В логах, на первый взгляд, чисто.

[quote=drongo;93708]srescan.sys - это что ? в прошлый раз , человек не смог к нам его прислать . Попробуйте любым методом .

isafe.exe- это антивирус от esafe , его нужно отключить .Возможно из-за него глюки .
C:\WINDOWS\system32\r_server.exe - сами ставили ? возможно через него вам засаживают .[/quote]

srescan - это от зоналарма. Прикрепил к теме архив.
isafe - видимо тоже поставился вместе с зоналармом. Глюки начались раньше.

RAdmin ставил сам.

Отсылать файлы надо по правилам Приложение 2

[quote=PavelA;93717]Отсылать файлы надо по правилам Приложение 2[/quote]

я так и сделал. За исключением того, что архивировал не авз, а руками. Потому что АВЗ этот файл в карантин не кладет почему-то..

AVZ -> Файл -> Выполнить скрипт:

[CODE]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, false);
QuarantineFile('c:\Bookshelf.TR\TRBookshelf_.dll.button.js','');
QuarantineFile('D:\Tools\Snoop\IniFile.dll','');
QuarantineFile('d:\tools\snoop\snoop2.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7727_quarantine.zip');
SetAVZGuardStatus(False);
end.
[/CODE]

После выполнения скрипта, в папке AVZ найдите файл [B]virusinfo_7727_quarantine.zip[/B] и пришлите его нам по правилам(через [URL="http://virusinfo.info/upload_virus.php"]эту форму[/URL])

Вопрос: заплатки на систему все стоят? Пароль на учётную запись администратора стоит? Диски не расшаривали? Апач снаружи виден? Если да, то как у него с заплатками?

[quote=Muffler;93721]AVZ -> Файл -> Выполнить скрипт:

[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, false);
QuarantineFile('c:\Bookshelf.TR\TRBookshelf_.dll.button.js','');
QuarantineFile('D:\Tools\Snoop\IniFile.dll','');
QuarantineFile('d:\tools\snoop\snoop2.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7727_quarantine.zip');
SetAVZGuardStatus(False);
end.
[/code]После выполнения скрипта, в папке AVZ найдите файл [B]virusinfo_7727_quarantine.zip[/B] и пришлите его нам по правилам(через [URL="http://virusinfo.info/upload_virus.php"]эту форму[/URL])[/quote]

Готово. Но это файлы безвредные.
Первый - читалка книг. Я ее уже удалил, поэтому в архиве нету ее
Второе и третее - это от программки snoop2, которой я пользуюсь уже лет эдак семь =)



[quote=pig;93729]Вопрос: заплатки на систему все стоят? Пароль на учётную запись администратора стоит? Диски не расшаривали? Апач снаружи виден? Если да, то как у него с заплатками?[/quote]

заплатки не стоят, ибо виндоус не очень лицензионный, а ломать неохота. Пароль стоит. Апач виден только в локалке. Тут хацкеров нет =) Если только wifi сломали.. но это маловероятно.
Расшарено только пара папок. Стоп. Как раз те папки, в которых появляются вирусы! Спасибо за мысль!! Ща я тут устрою тотальную аннигиляцию =)

Все. спасибо большое. Я тупиццо :)
Гад действительно сидел на другой машине (и почему там не стоял антивир?). И записывался ко мне через расшаренные папки.
Непонятно только по какому принципу он выбрал именно мою машину...

Но всё равно. Всем спасибо огромное :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]