Вроде kido, а вроде нет

С флешки из своего уч. заведения принес какую-то гадость. Сразу не заметил.
Заметил, когда увидел на всех своих флешках autorunы (дня 3 назад). Оутпост обновился, понаходил всякую гадость (к сожалению, не запоминал что и где - думал что легко обойдется) и вроде как вылечил.
Файлы на флешках перестали создаваться.
Но потом (и до сих пор) стал ругаться на файлы \widnows\system32\x, \windows\system32\octen.dll, \docs&setts\networkservice\tempIE\что-то\.bmp(png,jpg).
Находит в них Trojan.Conficker.Gen!Pac.
Успешно удаляет, но через пару минут эти файлы опять появляются.
AVPTool в этих же файлах находит Win32.Kido.ih (или il, что-то такое, но не из тех трех что описаны на сайте Касперского). Также успешно лечит, но файлы появляются.
Сейчас последовал инстуркции здесь, приложил логи.
Надеюсь на Вашу помощь )

хм... а почему у меня нету файла ...syscheck.zip ?
есть только ...cure.zip размером под 6 Мб.

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer.[/URL] Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Вот

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
DeleteService('gkchmslm');
DeleteService('zpfwewdlc');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\gkchmslm','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\zpfwewdlc','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gkchmslm');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\zpfwewdlc');
BC_DeleteSvc('gkchmslm');
BC_DeleteSvc('zpfwewdlc');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!

3. Повторите лог Gmer.

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

[COLOR=Red]На этом лечение не закончится![/COLOR]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Вот еще, забыла:

[quote]Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/quote]
Обновите базы AVZ. Логи пока делать не нужно!

P.S.: оутпост все также и находит зараженные файлы

Сейчас Outpost Anti-Leak стал сообщать об изменениях в svchost.exe .
И спрашивает - разрешить измнения или нет.
Я выбираю блокировать, но эти сообщения (т.е. и попытки изменения) появляются при любом обращении в интернет или локалку.

Лечитесь [url]http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215[/url]

Спасибо, конечно, но это я сделал в первую очередь.
KidoKiller также лечит 3 файла и все.
А они потом вновь появляются.

P.S.: заплатка установлена

что, никто не в силах помочь?!

Компьютер в сети?
Установите SP3 + остальные обновления и должно отпустить : )

Что значит "+ остальные обновления"?
Какие остальные? Все что найду что ли...

Хотя бы все обновления безопасности :)
Логи повторите

После удаления 3-х зараженных файлов

мда, похоже легче винду переустановить.
жаль времени нет сейчас (

В этих логах нашелся:
C:\WINDOWS\system32\octen.dll

Скрипт сейчас будет.

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

Выполнить:
[CODE]begin

SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('C:\WINDOWS\system32\octen.dll');
QuarantineFile('C:\WINDOWS\system32\octen.dll','');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин через [url]http://virusinfo.info/upload_virus.php?tid=38210[/url]

Карантин присылать по ссылке вверху темы. Отсюда удалить.

блин, ссори, забыл!
сначала открыло нужную ссылку, но комп перезагрузился - я по инерции уже сюда прикрепил!

cdykn[1].png,
octen.dll,
x - Net-Worm.Win32.Kido.ih

Вот он Ваш Кидо.

Логи надо заново сделать.

да я в курсе )
только зачем заново? я ж ничего не менял.

Это выполняли:
[url]http://virusinfo.info/showpost.php?p=340866&postcount=15[/url]