Перехваченные функции и странные драйверы

Сначала NOD32 IMON стал сообщать о попытках загрузки трояна, потом оказалось, что файервол (встроенный) отключен. Когда включил его обратно, в него стал добавляться explorer.exe как исключение под именем enable.
Стал проверять всем чем только можно - CureIt нашёл в системе активного трояна-прокси, убил его, но после перезагрузки он его нашёл снова. Ситуация с автодобавлением эксплорера в список исключений файервола осталась.
AVZ показывает несколько перехваченных функций + довольно странные драйверы в пространстве ядра:
[COLOR=#0000ff]\SystemRoot\System32\Drivers\ah0yectg.SYS[/COLOR]
[COLOR=#0000ff]\??\E:\Temp\C18wPr8D.sys[/COLOR] (это уж вообще ни в какие ворота - драйвер запущен из временного каталога %) ).
С системой явно чтото плохое случилось, посоветуйте, плз, как избавиться от заразы наименьшей кровью?
(Логи прилагаю)

пофиксите ....
[code]
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
[/code]
ntoskrnl.exe пришлите по правилам ...

Указанные строчки пофиксил, спасибо.
ntoskrnl.exe находится по двум путям - system32 и ServicePackFiles\i386, но после копирования в карантин ни один из них в карантин не попадает - как быть?
Имеет ли смысл высылать этот файл (а размер и дата создания у обоих совпадают) минуя карантин AVZ ?

На текущий момент ситуация такова: после запуска InternetExplorer'а он выдаёт ошибку доступа к памяти вида инструкция по адресу 0x7c80a250 попыталась прочитать память по адресу 0x04a85000, которая прочитана быть не может.
Если окошко с ошибкой не закрывать - интернет эксплорер'ом можно продолжать пользоваться.
В списке модулей ядра AVZ по прежнему показывает левый драйвер с неудобоваримым именем, причём имя меняется при перезагрузках, например, на текущий момент это aqefjbbn.SYS.
Подскажите, плз, как быть дальше?

ntoskrnl.exe очевидно чистый, не карантинится потому, что проходит по базе безопасных. "Левый" драйвер с меняющися именем - от Alcohol 120%.

Видны остатки Symantec (Norton) Антивируса, надо их подчистить таким скриптом:
[code]
begin
BC_DeleteFile('C:\W\System32\NavLogon.dll');
BC_DeleteSvc('Symantec Core LC');
BC_Activate;
RebootWindows(true);
end.[/code]
После этого скачайте новую версию AVZ 4.29 и сделайте новые логи.

1) скрипт выполнил, но кажется всё равно какие-то ссылки на эту dll остались
2) ntoskrnl.exe в списке модулей пространства ядра у AVZ (версию обновил) показана _не_ зелёным цветом - безопасна ли она в этом случае?
3) деинсталлировал и удалил каталог алкоголика - драйвер со странным именем всё равно появляется - подскажите, плз, как избавиться от остатков?
4) остались сообщения о перехваченных функциях от AVZ (хотя, кажется, их стало поменьше)
5) - самое неприятное - по прежнему после перезагрузки в список исключений файервола добавляется эксплорер! Зачем ему порты слушать - явный непорядок...

Прилагаю новые логи, помогите долечить плз.
P.S. С проблемного компьютера невозможно загрузить аттачменты на форум.

отправлять приходится по одному и с другой машины :/

AVZ log

1 впринципе ничего страшного ...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\W\System32\NavLogon.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
2 прошел по базе безопасных ...
3 алкоголь нормально не удаляется ..... драйвера нужно чистить руками ...
4 ничего зловредного не наблюдаю ...
5 explorer.exe - прходит по базе безопасных ....

с пунктом 5 согласиться не могу - в другой инсталляции WinXP explorer в списке исключений фаэрвола отсутствует + добавляет он себя без ведома, а точнее вопреки, пользователю.
Есть ли способ излечить его от такого поведения (и чем оно может быть вызвано в данной ситуации?) ?

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\W\system32\DRIVERS\axvodka.sys','');
QuarantineFile('C:\W\system32\6274724A4ECE9E6A.sys','');
DelWinlogonNotifyByFileName('C:\W\System32\NavLogon.dll');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин по правилам.

Карантин выслал. Заглянул в dat-файлы в карантине - одни сплошные нули....
Жду дальнейших указаний, спасибо.

выполнил скрипт по карантинированию экслорера, при архивации в virus.zip dat-файлы не добавляются.
На всякий случай высылаю virus.zip
Чистая ли система или нужно продолжать лечение?

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 7 минут[/I][/B][/color][/size]

обновлённый AVZ выдал такое сообщение
[SIZE=2]C:\Program Files\Internet Explorer\setupapi.dll >>> подозрение на Trojan.Win32.Agent.dgw ( 075D57B8 04886AB1 001BE708 001B0A4B 17920)

[/SIZE]

давайте новые логи ....

вот :)

Еще и логи AVZ нужно...

не могу отправить никак с этого компа.... сейчас с другого добавлю

AVZ logs
P.S.
чудеса, с другой машины в той же сети по NAT аттачи присоединились мгновенно...
карантин приаттачить или выслать отдельно?

Карантин выслать по правилам.

выслал

C:\Program Files\Internet Explorer\setupapi.dll - Trojan.Win32.Agent.dkf - подтверждение с вирустотал. Будем удалять!
Вот скрипт для удаления:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
ExecuteSysClean;

RebootWindows(true);
end.[/CODE]

Ограничивали себя сами? Если нет, то надо профиксить вот эту строчку
в логе HijackThis:
[CODE]
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

sptd.sys - нормальный перехватчик от Daemon Tools

Большое спасибо, ничего я сам не ограничивал, пофиксил.
После выполнения скрипта и перезагрузки AVZ снова ругнулся на ту же DLL в процессе сбора информации для лога.
Прикрепляю текущие логи - осталась ли зараза?

P.S. По поводу драйвера с изменяющимся именем - ведь всё так же висит. Все видимые остатки алкоголика прибил, все скрипты рекомендованные выполнил, а всё равно AVZ показывает в списке модулей в ядре этот драйвер. + в реестре поудалял кучу ключей в разделе сервисов.... Если он каждый раз новое имя берет да ещё и в реестре себя прописывает под новым именем - это же как реестр раздуется... Помогите прибить его, плз!
P.P.S. Загружать логи с инфицированного компьютера по прежнему невозможно - приходится перекидывать на другую машину...

Пришлите из карантина AVZ файл
[b]C:\Program Files\Internet Explorer\setupapi.dll[/b]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote]По поводу драйвера с изменяющимся именем - ведь всё так же висит. Все видимые остатки алкоголика прибил[/quote]
Попробуйте деинсталлировать Daemon Tools.

@Bratez файл уже в карантине и даже проанализирован на вирустотал.

@_RRR_ См. настройки IE. Может что-то надо поправить, чтобы отправлять логи с этого компьютера. От Алкоголя в ядре болталось пару файликов.

@Bratez
Карантин выслал. Там снова тот же setupapi.dll.
От Daemon Tools остались только драйверы %) Попробую инсталлировать и удалить заново.
@PavelA настроек не менял.... Не могли бы Вы уточнить что именно осталось от алкоголика?

C:\Program Files\Internet Explorer\setupapi.dll в системе по-прежнему. Если файл удалить (например из FAR'а), он снова восстанавливается (это при том, что dllcache очищен, и на любой "нормальный" удалённый системный файл винды просят вставить компакт диск, т.к. восстановить неоткуда).
Как бы его ликвиднуть всё же безвозвратно?...

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

Filemon от Sysinternals показывает интересную вещь:
explorer.exe периодически открывает подряд 3 файла
msacm32.drv
setupapi.dll
wuasirvy.dll
Причём права доступа - "Open access:All"

Проверяет, что троян на месте похоже.... :(

[QUOTE=_RRR_;162060]
@PavelA настроек не менял.... Не могли бы Вы уточнить что именно осталось от алкоголика?

C:\Program Files\Internet Explorer\setupapi.dll в системе по-прежнему. Если файл удалить (например из FAR'а), он снова восстанавливается (это при том, что dllcache очищен, и на любой "нормальный" удалённый системный файл винды просят вставить компакт диск, т.к. восстановить неоткуда).
Как бы его ликвиднуть всё же безвозвратно?...
[/QUOTE]

В последних логах ничего от Алкоголя нет. Кстати, подозрение на этот файл по virustotal только у двух-трех антивирусов. М.б. с "мистикой"
боремся. Надо успокоится и забыть об этом файле.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

wuasirvy.dll - надо проверять. [url]http://downloads.andymanchesta.com/RemovalTools/SDFix.exe[/url] - скачай и проверься этим.

кажется всё же это троян.
там, где у "приличных" исполнимых файлов таблица импорта/экспорта, у этого всякая ерунда прописана.
Да и по поведению с этой dll не всё в порядке. Лучше от неё избавиться.
"[URL="http://downloads.andymanchesta.com/RemovalTools/SDFix.exe"]http://downloads.andymanchesta.com/R...ools/SDFix.exe[/URL] "
NOD опознал какойто ProcView или чтото подобное. Удалил в свой карантин при сохранении. Может быть лучше подозрительных файлов в систему не добавлять? ;)

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

wuasirvy.dll - поиск по инету показывает, что троян.
Надо убивать....

SDFix с этим борется достаточно успешно, надо только Нода отключать, чтобы он не мешал. Это проверенное средство.

Спасибо, сейчас опробую.
А пока вот содержимое wuasirvy.dll
[g]
l=345345
j=28305115
y=30
v=uttcomm/vpe:pbfgp:/mfxmp:asv.gbva
n=uttcomm/vpe:pbfgp:/mfxmnqqgcuc

Оччень интересная dll :)

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

SDfix:
Trojan Files Found:

C:\W\system32\rasqervy.dll - Deleted
C:\W\system32\sdfinacs.dll - Deleted
C:\W\system32\sdfixwcs.dll - Deleted
C:\W\system32\wuasirvy.dll - Deleted
C:\W\system32\wsnpoem\audio.dll - Deleted
C:\W\system32\wsnpoem\audio.dll.cla - Deleted
C:\W\system32\wsnpoem\video.dll - Deleted

Вот видишь, а ты сомневался ;)

Да, пока вроде больше никаких проявлений заразы не вижу... до поры до времени %) Остаётся только гадать сколько там ещё dll сидит левых - такая огроменная куча файлов...
Спасибо всем за помощь!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.Agent.dkf[/B][/LIST][/LIST]