Вирус спрятался

Две недели назад на флешке Аваст убил autorun.inf, а после я узнал, что это был кусок от Kido, после чего убил на флешке папку Recycler. Больше Аваст на флешке ничего не находил. В системе, проверенной после этого три раза (Windows, Program Files), ничего не нашлось. Правда, три раза менялась дата файла wpa.dbl в папке Windows/system32 но новых файлов не появлялось. Последнее изменение было в день, когда на флешке была убита папке Recycler.

Четыре дня назад на комп была какая-то атака с сайта *.com (имя я не помню). Разорвав соединение, я проверил системные папки (Windows, Program Files). Аваст ничего не нашёл. На следующий день в папке Windows/system32 (я её проверял, чтобы отловить хвост Kido) появились три экзешника с датой и временем включения компа. Я их перенёс на другой диск, переименовав в 01-03.txt и проверил системные папки снова. Аваст ничего не нашёл. На следующий день появились три новых экзешника. Я их снова преименовал в 04-06.txt и проверил эти шесть файлов. В одном из них Аваст нашёл вирус, который был тут же убит. После этого я проверил папку Documents and Settings и подпапке Local Setting/Temp нашёлся экзешник e.exe со свежей датой, в котором Аваст нашёл вирус, и этот файл был тут же убит. Полное сканирование всего системного диска ничего не дало, Аваст ничего не нашёл. Новых файлов в папке Windows/system32 не появлялось и файл wpa.dbl тоже перестал менять дату.

В локалке мне посоветовали этот сайт, но я не смог на него зайти. При этом не открывался Гугль и его почта. Так продолжалось два дня, а сегодня я почистил и восстановил маршруты (если надо, напишу подробнее), после чего Гугль открылся и я сумел зайти на этот сайт.

Прилагаю файлы отчёта программ.

P.S. KidoKiller, запущенный перед AVZ, никаких вирусов на дисках (включая флешку) не нашёл.

Это был не Kido.

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\uVG5NjP.exe,\\?\globalroot\systemroot\system32\1C5wydb.exe,\\?\globalroot\systemroot\system32\9K1wdM5.exe,\\?\globalroot\systemroot\system32\0FKhsbA.exe,[/CODE]

Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.

Скорей всего, это был какой-то Malware (как это следует из имени сайта с программой), да? Потому что это имя очень похоже на то, которое нашёл Аваст в папке DS/LS/Temp в файле e.exe (был убит сразу же) и в одном из переименованных мной в txt-вид файлов.

Кстати, забыл уточнить. Файл wba.dbl перестал менять дату, когда я отключил восстановление системы (оно выключено и сейчас), чтобы удалить оттуда случайно попавшие хвосты зверя (если, конечно, они там были). Кроме того, когда не было доступа к гуглю и его почте, я по поиску Яндекса "wpa.dbl меняет дату" нашёл пару интересных ссылок, но вместо текста в центре этой пары ссылок появлялась какая-то картинка флеш-проигрывателя. Естественно, эти странички тут же закрывались. При этом Аваст молчал в обоих случаях. Тот же поиск на работе открыл эти же странички нормально, без этой картинки-плеера.

Перед предполагаемыми действиями я вышел из сети и отключил Аваст.
Строка в HiJack пофиксена.
RSIT был скачан ещё на работе. Он был запущен с меткой "3 месяца". После начала работы соединение с сетью восстановилось само и оставалось всё время работы программы. По окончании было предложено его сохранить и я отключил соединение с сетью. Логи сохранились в папке c:\rsit. Прилагаю.

Логи в порядке

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Правильно ли я понимаю, что "фиксация" удалила последние следы зловреда? Потому что меня [B]очень[/B] смущает изменение даты файла wba.dbl. Неужели она обновляется каждый раз, после создания точки восстановления? И то, что процесс Аваста... AshWebSv.exe (? тот, что отслеживает активность Интернета) через какое-то время возрастал с 1.5 до 100 Кб.