Функция advapi32.dll и wininet.dll перехвачена, метод APICodeHijack

Добрый день,
Проблема - периодически комп начинает соединяться по TCP с неким набором адресов, помогает избавиться только включение брандмауэра. Процесс system или services.
Найти собственно прогр., которая открывает соединения не могу уже длительное время. АVP и DR Web ничего не находят. AVZ из непонятного показывает
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]Функция advapi32.dll:CryptAcquireContextA (135) перехвачена..... [/COLOR][/SIZE][/COLOR][/SIZE][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена.....[/COLOR][/SIZE][/COLOR][/SIZE]
[SIZE=2][SIZE=2]плюс вот это: [/SIZE][/SIZE]
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_CREATE] = 8B5E19A8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = 8AEFDE90 -> перехватчик не определен[/COLOR][/SIZE]
[COLOR=#ff0000]
[SIZE=2][COLOR=black]Помогите найти источник проблемы. Спасибо.[/COLOR][/SIZE]
[/COLOR][/COLOR][/SIZE][/COLOR][/SIZE][/COLOR][/SIZE]

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Гмер[/URL]

Добрый день,
К сожалению лог Gmerа сделать не удалось: и в обычном, и в safe WinXPSP3 вылетал в BSOD при полном сканировании. Перед вылетом было уведомление о подозрении на троянца в сервисе twvwe (буквы и название ничего не значащие).

Поиском нашел у себя c:\windows\system32\drivers\twvwe.sys. Проверить файлик онлайн было невозможно из-за отказа в доступе.

В реестре были ключи:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\twvwe]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\twvwe]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\twvwe]
@=""
К этим ключам также нельзя было получить доступ.

Через recovery панель выяснил, что сервис "twvwe" стартует при boot, сделал этому сервису disable. После проверки файла в онлайне выяснилось, что это Rootkit.Win32.Agent.biiu (при этом ни KAV, ни Dr Web ничего не показывали). По ощущениям, этот троянец слушал ftp, при выкладывании на сервер веб страниц, троянец дописывал к Java скриптам и просто в HTML небольшой скриптик с отсылкой на на некие сайты.

Скриптом AVZ удалил ключи реестра и сам файл троянца. АVZ перестал ругаться на
[COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_CREATE] = 8B5E19A8 -> перехватчик не определен[/COLOR]
[COLOR=#ff0000][SIZE=2]\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = 8AEFDE90 -> перехватчик не определен[/SIZE][/COLOR]


Но по-прежнему AVZ выдает, что
[COLOR=#ff0000]Функция advapi32.dll:CryptAcquireContextA (135) перехвачена..... [SIZE=2][SIZE=2]Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена.....[/SIZE][/SIZE][/COLOR]

Прошу посмотреть новые логи AVZ и Хайджека, все ли в порядке? Заранее спасибо.

Скачайте [URL="http://www.online-solutions.ru/files/ru/osam_autorun_manager_5_0.msi"]"OSAM"[/URL] Online Solutions Autorun Manager. В меню драйверов правой кнопкой по [B]twvwe[/B] и выберите [B]"Turn Run Off"[/B]. Перезагрузку подтвердите.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('twvwe');
QuarantineFile('C:\WINDOWS\system32\Drivers\twvwe','');
DeleteFile('C:\WINDOWS\system32\Drivers\twvwe');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM','\ControlSet002\Services\twvwe');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM','\ControlSet003\Services\twvwee');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM','CurrentControlSet\Services\twvwe');
BC_DeleteSvc('twvwe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Потом попробуйте сделать лог Гмер + логи АВЗ

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[QUOTE='msx276;703277']Скриптом AVZ удалил ключи реестра и сам файл троянца. АVZ перестал ругаться на[/QUOTE]Вы самолечением занимаетесь или мы Вас лечим?

Здравствуйте, еще раз.
Ваша рекомендация в посте выше уже излишняя, троянца удалил сам.
А поиском на форуме нашел, что перехватчики wininet, выделенные выше - это от Крипто-Про ([url]http://virusinfo.info/showthread.php?t=7912[/url])

Так что проблема решена, спасибо что натолкнули на путь решения.