braviax, pc anywhere, cru629 и пр.

[B]Bratez[/B]
Логи чуть позже сделаю.

В течение дня сделал вот что: создал "Касперский live cd", но там у него что-то не срослось с запуском... Я, не унывая, находясь в Live CD, проверил диск CureIt'ом, до этого, удалив вручную braviax, cru629, beep, figaro. CureIt ничего не нашёл. Я создал малюсенькие txt-файлы и соответственно переименовал их во вредоносные объекты (например, файл 1.txt стал braviax.exe), разместил их в тех же местах. Переименовал стандартный regedit (на всякий случай). Пофиксил с помощью hijackthis строчку "O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe". Перезапустился. Больше те вредоносные объекты, о которых мы знали, не появляются, но файлы BN*.tmp продолжают создаваться тем, что мы ищем. Касперский их распознаёт как Backdoor.Win32.UltimateDefender.yo.

Новые логи.
А ещё заметил такую нехитрую закономерность: новые файлы BN*.tmp создаются после перезагрузке только при подключённом интернете. Если интернет отключен, то папка Temp остаётся девственной (во всяком случае без BN-ов, просящих доступ в интернет).

Неведомым образом загрузилась braviax.exe в system32.
Диспетчер задач показывает, что ЦП очень сильно загружают svchost.exe и некие процесс System (это помимо безумного Outpost'a — acs.exe). Сетевая активность svchost.exe из Outpost:
[URL=http://ipicture.ru/Gallery/Viewfull/23232464.html][IMG]http://pic.ipicture.ru/uploads/090905/50790/thumbs/Xia28C07U0.jpg[/IMG][/URL].
svchost.exe в диспетчере задач:
[URL=http://ipicture.ru/Gallery/Viewfull/23232544.html][IMG]http://pic.ipicture.ru/uploads/090905/50790/thumbs/T1TXWsHRCQ.jpg[/IMG][/URL]

Нужно найти чистый agp440.sys (Ваш пропатчен) и заменить по данной методике [url]http://virusinfo.info/showthread.php?t=51654[/url]
Пока этого не сделать лечиться придется до бесконечглсти

Нашёл чистый agp440.sys, заменил пропатченный, который в 2 раза больше. Теперь BN*.tmp не создаются, а автозапуск regedit.exe в реестре не создаётся. Но победу праздновать рано. Дождусь понедельника, посмотрю на результаты, сделаю новые логи, удалю Outpost, установлю Comodo...

[QUOTE='brok3n;462759']Дождусь понедельника, посмотрю на результаты, сделаю новые логи[/QUOTE]Логи сделать обязательно

Вот новые логи.
Пока ничего подозрительного не происходит: проверки антивирусов заканчиваются безрезультатно-положительно, а в OutPost'e нет ненормальной активности.
Заодно хотелось бы узнать: может поменять Outpost на Comodo? С учётом того, что у меня компьютер почти всё время находится во включенном состоянии, в сети, моей сетевой активности (активная активность :) ) и не самого мощного комьютера сборки 8-летней давности, Comodo удовлетворит меня?

В логах ничего зловредного не заметил. Установите SP3, чтобы не стать нашим постоянным клиентом :)

Господа помощники, благодарю за помощь!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\braviax.exe - [B]Trojan-Downloader.Win32.FraudLoad.fko[/B] ( DrWEB: Trojan.Fakealert.4885, BitDefender: Trojan.Generic.2220697, NOD32: Win32/TrojanDownloader.FakeAlert.AGA trojan )[*] c:\windows\system32\drivers\beep.sys - [B]Backdoor.Win32.UltimateDefender.igv[/B] ( DrWEB: Trojan.NtRootKit.3206, BitDefender: Generic.Malware.P!.5BCCCE32, AVAST4: Win32:FakeAV-NO [Rtk] )[*] c:\windows\system32\wisdstr.exe - [B]not-a-virus:FraudTool.Win32.Agent.wl[/B] ( DrWEB: Trojan.Fakealert.4747, BitDefender: Trojan.FakeAV.RA, NOD32: Win32/TrojanDownloader.FakeAlert.AGO trojan, AVAST4: Win32:Zbot-MAP [Trj] )[/LIST][/LIST]