Неуловимый вирус запускаемый из-под explorer лезет в сеть

Здравствуйте!
Помогите, пожалуйста, решить проблему, меня уже достали за последнюю неделю сообщения от Антивируса Касперского идущие с интервалом в 5 минут и чаще. Вирус очень хитрый, его никак не убрать. Он запускается из-под оболочки, и его не видит даже такая классная крутая штука как AutoRuns от SysInternals (хотя авторы заявляют, что она видит всё). Кроме того, бессилен сканер CureIt от DrWeb и установленный Антивирус Касперского 2009 (8.0.0.523) с последними базами на максимальном уровне проверки (настроенном вручную, с углублённой эвристикой, проверкой запароленных архивов любого размера и прочими радостями).

Эта зараза создаёт процесс svchost.exe (netsvc -k) от имени текущего пользователя (не SYSTEM); в автозагрузке, понятно, ничего нет. Запущенный процесс периодически стучится в инет на какой-то китайский сайт со словом "google" в URL (фишинговый сайт, как однозначно сообщает KAV). Если верить утилите ActivePorts, этот процесс вообще кучу портов резервирует локальных, а удалённый порт - 1110.

Ну и значит мне это дело никак не извести, а переустанавливать систему очень не хочется, потому что образа нет, а программ до кучи установлено.

Ещё маленькая претензия к работе компа - сильная задержка при загрузке трея в начале работы, где-то около минуты с лишним (работать в это время нельзя, почти ничего не реагирует). Из видимых вещей после задержки появляются значки сетевых подключений и Касперский, но кто знает, может, там ещё какие-то скрытые службы есть, из-за которых и тормозит всё.

Кстати, хотя разработчики AutoRuns на сайте пишут, что их утилита может определить последовательность загрузки модулей и выводиить их с её учётом, я там такой опции не нашёл. Или та сортировка, в которой они выводятся по умолчанию, и считается порядком загрузки?

Единственно в чём мне эта прога помогла - там было несколько ссылок в реестре на бывшие файлы вирусов (рандомный набор букв, все экзешники, причём написано FILE NOT FOUND), я их постирал, их там штук восемь было. Может, тормозить будет меньше при запуске?..

Правила, описанные у Вас на форуме, я все выполнил, Касперским и DrWeb также сканил, логи все прикрепляю. Но чтобы Вам было ещё ьлегче понять, что происходит, позвольте прикрепить серию скриншотов - вдруг чего прояснит. :)

[IMG]http://popov654.pp.ru/pic/1.png[/IMG]

[IMG]http://popov654.pp.ru/pic/2.png[/IMG]

[IMG]http://popov654.pp.ru/pic/3.png[/IMG]

[IMG]http://popov654.pp.ru/pic/4.png[/IMG]

[IMG]http://popov654.pp.ru/pic/5.png[/IMG]

[IMG]http://popov654.pp.ru/pic/6.png[/IMG]

[IMG]http://popov654.pp.ru/pic/7.png[/IMG]

[IMG]http://popov654.pp.ru/pic/8.png[/IMG]

[IMG]http://popov654.pp.ru/pic/9.png[/IMG]

[IMG]http://popov654.pp.ru/pic/10.png[/IMG]


Я кстати пробовал отключать RemoteRegistry и WebClient, потому что мне показалось, что они небезопасны - но это ничего не даёт...

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('c:\windows\system32\xnghfia.exe','');
QuarantineFile('c:\windows\system32\xfqxiuy.exe','');
QuarantineFile('c:\windows\system32\vlhenkv.exe','');
QuarantineFile('c:\windows\system32\e9f66a0.exe','');
QuarantineFile('c:\windows\system32\dab931fc.exe','');
QuarantineFile('c:\windows\system32\cqkouw.exe','');
QuarantineFile('c:\windows\system32\930ee3b8.exe','');
DeleteFile('c:\windows\system32\930ee3b8.exe');
DeleteFile('c:\windows\system32\cqkouw.exe');
DeleteFile('c:\windows\system32\dab931fc.exe');
DeleteFile('c:\windows\system32\e9f66a0.exe');
DeleteFile('c:\windows\system32\vlhenkv.exe');
DeleteFile('c:\windows\system32\xfqxiuy.exe');
DeleteFile('c:\windows\system32\xnghfia.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [COLOR="Blue"][B]log.txt[/B][/COLOR] и [COLOR="Blue"][B]info.txt[/B][/COLOR]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- скачайте новую версию [URL="http://z-oleg.com/avz4.zip"]AVZ - 4.35[/URL]
- [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])

Спасибо огромное! :D
Теперь всё стало заметно быстрее, едва ли не летает, тормоза при загрузке ушли. Процесс тот остался, но теперь на вкладке TCP/IP в Process Explorer чисто.
Логи прикрепляю, остальные шаги выполню когда из универа вернусь)

Не, тормозит при загрузке как и раньше. Хотя в инет больше не ломится)
Сейчас просканирую последней версией AVZ...
Нет пока информации по карантину?

P.S. Хотя кто его знает, может он "заедает" как раз не из-за вирусов... Вы не знаете, как можно оптимизацию автозагрузки провести?) Он главное и при вирусе быстро загружался, но мне пришлось вчера сделать откат (я что-то три дня назад напортачил (есть подозрение, что виной какая-то из микропрограмм восстановления в AVZ) и графическое оформление ОС испортилось, стало из голубого розовато-голубоватым и квадратящимся). И после отката тормоза вернулись. Я же не помню, что я тогда такого сделал, что от них избавился :) Там даже пара инсталяций-деинсталяций каких-то софтин вроде было.

Вот логи после повторной проверки с последними версиями.

В логах чисто

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="http://get.adobe.com/reader/otherversions/"]Acrobat Reader 9.4[/url] или удалите старый

Чёрт! Он опять во всю лазит куда хочет. Вот скрины...

А всего-то комп постоял к инету подключенным пару часов... >:(

[IMG]http://popov654.pp.ru/pic/11.png[/IMG]

[IMG]http://popov654.pp.ru/pic/12.png[/IMG]

[IMG]http://popov654.pp.ru/pic/13.png[/IMG]

Да я и сам хочу его поставить (SP3), только спасёт ли?..

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

В общем, пока вопрос открыт: как сносить, чем сносить.
А, стойте, стойте.
Это наверно я виноват. :(
Вы не предупредили, что надо все точки восстановления ручками почистить перед тем как обратно его включить?
Мне кажется он оттуда каким-то неведомым образом перебрался... :furious3:

Тогда мне теперь надо повторять все действия, начиная с запуска первого скрипта? Который длинный?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Хотя это только предположение, может там было и чисто. Тогда непонятно, откуда он вернулся.

[QUOTE=thyrex;727015]В логах чисто

[COLOR=#ff0000][B]Внимание![/B][/COLOR] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [B]прекращена[/B]

Установите [URL="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/URL] (может потребоваться активация) + все [URL="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/URL] для Windows
Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/URL] (даже если им не пользуетесь)
Установите [URL="http://get.adobe.com/reader/otherversions/"]Acrobat Reader 9.4[/URL] или удалите старый[/QUOTE]
это сделайте, после новые логи

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]