Зараза поселилась...основательно

Dr.Web4.33, F-Prot, NOD 32, KAV6.0, NIS 5-6.0, AVAST4.7 HOME...Прошу помощи зала! За последние полтора года мной использовались перечисленные антивирусники в разном порядке. А также в дополнение к ним несколько файрволлов.
+Полгода использую AD-Watch.

Каждый из антивирей периодически что-то находил (статистику веду около 3-х месяцев), в основном, сразу же после их установки. Впоследствии благополучно значки антивир программ из системного трея исчезали. Только Каспер длительное время ругался на PEACOMM.

Переустановка WinXP SP2 помогает ненадолго. Очевидно, в инсталяшках используемых мной программ зараза живетЪ.
Винда периодически "восстанавливается после серьёзной ошибки".

Просмотрел свои логи AVZ и HiJackThis. Каспера снёс месяц как уже, а он еще среди процессов вместе с туда же ушедшим Нортоном болтается.

Признаков заражения нет.

Остатки KAV можно выкорчевать их же утилитой - брать с их сайта.

Спасибо!!

Спасибо всем тем кто откликнулся и просмотрел логи!

Вношу поправку в данные (извините за невнимательность к ПРАВИЛАМ) - обновил АВЗ только что (вечная нехватка времени и "хороший" провайдер) - новые логи.

На всякий случай выкладываю список уже учтённых и удалённых зверей (я надеюсь).

1.Это нашел НИС 5 после снесения КАВ 6 (на что КАВ не реагировал никак во время трудов своих)
BLA.TROJAN.HORSE
HACKTOOL
TROJAN.Startpage
HACKTOOL.PWcrack
TROJAN.Peacomm (с этим представителем НИС так и не справился, и после снесения НИСа энный значит гуляет где-то, т.к. ни Авира ни Аваст его не нашли)

2.Просто нашел свои записи о найденной заразе(Не помню какой антивирь находил, Авира, возможно)
Backdoor.Graybird
Bloodhound.Exploit.22

3.А на данный момент Аваст обнаружил и держит в хранилище
Win32:Agent-CVR
Win32:Agent-CNU -2шт, причем один в файле который я года 2 не запускал, а второй в папке Систем Волюм Информэйшн
Win32:Rbot-BUC

по поводу 4-х последних - данные в инете про них только на нескольких ни русско- ни англоязычных сайтах.

Для полноты картины - использую кряканый ЭксПи СП2. На хранившиеся на винте кряки сначала грязно выругался КАВ(на первую)и грохнул ее, затем НИС на вторую с тем же результатом. Система ставилась одна и та же около 2-х лет. Напоминания об обновлениях Винды отключаются руками сразу же после установки.

Утилиту Др.Вэб КурэИт скачать не удалось - на 99%-ах указано - "ошибка закачки".

И еще, подскажте, пожалуйста, должен ли значек антивиря всегда висеть в системном трее или нет? Вчера после установки АВАСТ демонстрировал мне 2 своих значка в трее - сегодня их нет.Та же ситуация была и с Др Вэбом и Авирой и НИСом. КАВ трудился постоянно.

Ещё раз благодарю за помощь!

У меня ощущение, что просто останки антивирусов мешают друг другу.

Спасибо!!! :) Будем выкорчевывать!!!
А что считаете по поводу хранилища АВАСТа?

Scan Results:
scan start: 06.03.2007 22:36:13
scan stop: 06.03.2007 22:45:43
scanned items: 147175
found items: 27
found and ignored: 0
tools used: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner



Infection Name Location Risk
Advertising C:\Documents and Settings\Aeaen\Cookies\aeaen@adriver[1].txt Low
CWS C:\Documents and Settings\Aeaen\Cookies\[email protected][1].txt Low
Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\[email protected][1].txt Low
Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\[email protected][2].txt Low
Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\aeaen@mail[2].txt Low
Known Bad Sites C:\Documents and Settings\Aeaen\Cookies\aeaen@warlog[2].txt Low
Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\aeaen@yadro[1].txt Low
Keylog-sters C:\Documents and Settings\Aeaen\Cookies\aeaen@yandex[1].txt Low
Keylog-sters C:\Documents and Settings\Aeaen\Local Settings\Temporary Internet Files\Content.IE5\K5MNWP6J\cycounter[1].gif Low
Trojan.Downloader.Zdown C:\Documents and Settings\Aeaen\Local Settings\Temporary Internet Files\Content.IE5\K5MNWP6J\files_all[1].htm High
Trojan.Downloader.Zdown C:\Documents and Settings\Aeaen\Local Settings\Temporary Internet Files\Content.IE5\K5MNWP6J\ms04[1].gif High
Keylog-sters C:\Documents and Settings\Aeaen\Eca?aiiia\antivirus\?ndex Nea?aou aeaeeioaee dr.web (1375).url Low
Keylog-sters C:\Documents and Settings\Aeaen\Eca?aiiia\nauki\?iaaen.Eaoaeia Iaaeoeineea yioeeeiiaaee.url Low
CWS C:\Documents and Settings\Aeaen\Eca?aiiia\telephon\smart60.kiev.ua symbian, uiq, windows mobile + se. Ea?u, i?ia?aiiu, oeeuiu, oaiu, o?eoou, eieae!.url Low
Trojan.Kapod C:\Program Files\Alcohol Soft\Alcohol 120\alcohol_activator.exe High
Trojan.Popuper C:\Program Files\UltraISO\PATCH.EXE High
Trojan.Popuper E:\Temp\ULTRAISO_8.20.1669__RUS\CRACK\PATCH.EXE High
Trojan.Kapod G:\Install\Programs\Alcohol 120\alcohol_activator.exe High
Backdoor.Agent G:\Install\Programs\Files&Texts\Fine Reader 8.0 Pro\Crack\patch.exe High
Trojan.Popuper G:\Install\Programs\ULTRAISO_8.20.1669__RUS\CRACK\PATCH.EXE High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}## High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore## High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore##Count High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore##Time High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore##Type High


Как я понимаю, это всё туфта?
Ни АВАСТ, ни теперешний КАВ на это не реагировали....

Во время работы в сети было сообщение об ошибке #Generic Host Process for Win 32#, после чего пропало окошко состояния хода подключения к инету.
?

[quote=Tiberius;98695]

Во время работы в сети было сообщение об ошибке #Generic Host Process for Win 32#, после чего пропало окошко состояния хода подключения к инету.
?[/quote]
Это старая тема:
[quote] Проблема связана с несколькими уязвимостями системной службы 'Server' при работе в сети под системами Windows XP SP1/SP2. Для устранения данной проблемы пользователям одиночных машин (т.е. компьютеры которых не связаны с др. машинами локальной сеткой) необходимо проделать следующее: нажимаете комбинацию клавиш Microsoft+R (пояснение: 'Microsoft' - клавиша с изображением фирменного значка Микрософт); в появившемся окошке с командной строкой набираете текст msconfig и жмете 'ОК'; в открывшемся окне заходите в закладку 'Службы' и убираете галочки с пунктов 'Сервер' и 'Рабочая станция'; перезагружаете компьютер и в появившемся окне с сообщением ставите галочку и жмете 'ОК'. Произведенные изменения никак не скажутся на работоспособности Интернет-коннекта или чего-либо др. Внимание! Важно! Если Ваш компьютер связан с др. машинами локальной сетью и содержит общие папки и файлы, к которым должны иметь доступ остальные участники локальной группы, или же Ваш компьютер выполняет роль сервера-маршрутизатора для подключения др. машин к Интернет-сети, то указанные службы отключать нельзя, т.к. это приведет к неработоспособности локальных соединений. В этом случае для устранения вышеописанной проблемы Вам необходимо скачать с сайта Микрософт и установить у себя на компьютере патчи с номерами KB921883 и KB923414.[/quote]

...вкратце - многое не в норме, в карантине АВЗ появились файлы - дополнительные скрипты не выполнял.
Спасибо! мсконфиг системой не найден - логи прикрепить не могу - ОШИБКА ЗАГРУЗКИ и всё тут!

...прикол...прямо при переходе с одной страницы форума на другую появилось сообщение о том что все куки успешно удалены.

и в Ад-Аваре
появилось это - 10.03.2007 23:26:25 - Обнаружена модификация регистра
Корневая:HKEY_CURRENT_USER
Ключ:Software\Microsoft\Internet Explorer\Main
Значение: Local Page
Дата:C:\WINDOWS\system32\blank.htm
Новая дата:\blank.htm

???????????

P.S.логи прикрепить не мог

Некоторые отчёты КАВ :

обнаружено: потенциально опасное ПО Invader Процесс: C:\Documents and Settings\Алекс\Local Settings\Temp\_iu14D2N.tmp
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\cmd.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\net.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\wscntfy.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\control.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\dumprep.exe

может, получится с логами

Лично меня сильно смущает то, что [b][color=magenta]Ati2evxx.dll[/color][/b] загружается через Winlogon Notify. Даже если это не маскирующийся под драйвер зловред, а легитимный драйвер - все равно, на мой взгляд, ему там не место.

Рекомендую, во-первых, прислать этот файл на проверку согласно приложению 2 правил, во-вторых, проверить, не требуется ли обновление видеодрайверов.