Вроде kido, а вроде нет

С флешки из своего уч. заведения принес какую-то гадость. Сразу не заметил.
Заметил, когда увидел на всех своих флешках autorunы (дня 3 назад). Оутпост обновился, понаходил всякую гадость (к сожалению, не запоминал что и где - думал что легко обойдется) и вроде как вылечил.
Файлы на флешках перестали создаваться.
Но потом (и до сих пор) стал ругаться на файлы \widnows\system32\x, \windows\system32\octen.dll, \docs&setts\networkservice\tempIE\что-то\.bmp(png,jpg).
Находит в них Trojan.Conficker.Gen!Pac.
Успешно удаляет, но через пару минут эти файлы опять появляются.
AVPTool в этих же файлах находит Win32.Kido.ih (или il, что-то такое, но не из тех трех что описаны на сайте Касперского). Также успешно лечит, но файлы появляются.
Сейчас последовал инстуркции здесь, приложил логи.
Надеюсь на Вашу помощь )

хм... а почему у меня нету файла ...syscheck.zip ?
есть только ...cure.zip размером под 6 Мб.

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer.[/URL] Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Вот

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
DeleteService('gkchmslm');
DeleteService('zpfwewdlc');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\gkchmslm','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\zpfwewdlc','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gkchmslm');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\zpfwewdlc');
BC_DeleteSvc('gkchmslm');
BC_DeleteSvc('zpfwewdlc');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!

3. Повторите лог Gmer.

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

[COLOR=Red]На этом лечение не закончится![/COLOR]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Вот еще, забыла:

[quote]Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/quote]
Обновите базы AVZ. Логи пока делать не нужно!

P.S.: оутпост все также и находит зараженные файлы

Сейчас Outpost Anti-Leak стал сообщать об изменениях в svchost.exe .
И спрашивает - разрешить измнения или нет.
Я выбираю блокировать, но эти сообщения (т.е. и попытки изменения) появляются при любом обращении в интернет или локалку.

Лечитесь [url]http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215[/url]

Спасибо, конечно, но это я сделал в первую очередь.
KidoKiller также лечит 3 файла и все.
А они потом вновь появляются.

P.S.: заплатка установлена

что, никто не в силах помочь?!

Компьютер в сети?
Установите SP3 + остальные обновления и должно отпустить : )

Что значит "+ остальные обновления"?
Какие остальные? Все что найду что ли...

Хотя бы все обновления безопасности :)
Логи повторите

После удаления 3-х зараженных файлов

мда, похоже легче винду переустановить.
жаль времени нет сейчас (

В этих логах нашелся:
C:\WINDOWS\system32\octen.dll

Скрипт сейчас будет.

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

Выполнить:
[CODE]begin

SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('C:\WINDOWS\system32\octen.dll');
QuarantineFile('C:\WINDOWS\system32\octen.dll','');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин через [url]http://virusinfo.info/upload_virus.php?tid=38210[/url]

Карантин присылать по ссылке вверху темы. Отсюда удалить.

блин, ссори, забыл!
сначала открыло нужную ссылку, но комп перезагрузился - я по инерции уже сюда прикрепил!

cdykn[1].png,
octen.dll,
x - Net-Worm.Win32.Kido.ih

Вот он Ваш Кидо.

Логи надо заново сделать.

да я в курсе )
только зачем заново? я ж ничего не менял.

Это выполняли:
[url]http://virusinfo.info/showpost.php?p=340866&postcount=15[/url]

Ну да, но файлы то опять те же самые есть.
у 1-2 только имя поменялось )

У вас заплатки стоят?

ну да... ставил SP3
хм..хотя возможно, что он не самый свежий был ~ 70Mb, сейчас если получится, скачаю с сайта мелкософта 300Мб образ.

У вас SP2... Установите SP3 затем поставьте остальные апдейты...

В логе Гмера остатки от 8-и штук.

Вы про разделы в services?
Если да, то после лечения, их содержимое пропадает, но сами разделы, почему то удалить не получается...
----
Ставлю SP3

Скачайте [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url], зайдите в раздел "Registry" и удалите все эти ключи...

В общем, понаставил обновлений, все вылечил, вычистил.
Один вечер пожил спокойно, щас только загрузилась винда и опять эта дрянь повылазела!... (

Сделайте свежие логи AVZ+Gmer...

Кстати, как я понял, лазейке есть и в Висте?

я бы посоветовал разобраться с этой программой:C:\Program Files\Nokia\Phoenix\
уж больно много в ней замененных dll

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\68wm7gyw\cdykn[1].png - [B]Net-Worm.Win32.Kido.ih[/B] (DrWEB: Win32.HLLW.Autoruner.5555)[*] c:\windows\system32\octen.dll - [B]Net-Worm.Win32.Kido.ih[/B] (DrWEB: Win32.HLLW.Autoruner.5555)[*] c:\windows\system32\x - [B]Net-Worm.Win32.Kido.ih[/B] (DrWEB: Win32.HLLW.Autoruner.5555)[/LIST][/LIST]