После удаления касперским Rootkit.Win32.Small.ut осталась какая-то гадость

[pavelaleksashev]

Вчера Антивирус касперского удалил
26.06.2009 1:14:14 Обнаружено: Rootkit.Win32.Small.ut Система C:\WINDOWS\system32\DRIVERS\adusbmdm65.sys
26.06.2009 1:14:16 Невозможно создать резервную копию: Rootkit.Win32.Small.ut Система C:\WINDOWS\system32\DRIVERS\adusbmdm65.sys
26.06.2009 1:14:27 Обнаружено: Rootkit.Win32.Small.ut E.EXE C:\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\rdlA3.tmp
26.06.2009 1:14:35 Обнаружено: Rootkit.Win32.Small.ut E.EXE C:\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\rdlA3.tmp


После этого постоянно засела какая-то гадость, касперский ничего сделать не может, cureit тоже ничего не находит

27.06.2009 0:05:30 Обнаружено: Hidden object rq9rr.exe
27.06.2009 0:05:30 Завершен: Hidden object rq9rr.exe
27.06.2009 0:05:30 Завершен: Hidden object rq9rr.exe
27.06.2009 0:05:30 Обнаружено: Hidden object 85gl9.exe
27.06.2009 0:05:30 Завершен: Hidden object 85gl9.exe
27.06.2009 0:05:30 Завершен: Hidden object 85gl9.exe


Прошу помочь удалить эту гадость..

[AndreyKa]

Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 ExecuteRepair(13);
 SetAVZPMStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

[pavelaleksashev]

Не ожидал что модерация моего поста будет длиться 12 часов, поэтому подумал что сообщение пропало.. и за это время провёл кое-какие манипуляции:
удалил через avz C:\WINDOWS\system32\ntkrnlpa.exe
после этой операции сообщения в касперском перестали появляться
после этого avz показал _новый_ то ли модуль ядра, то ли драйвер sbpx.sys , тоже его удалил..

...и одновременно удалил новый модуль klif.sys ... это привело к автоматической переустановке касперского...

Логи сделал, прошу посмотреть

[AndreyKa]

удалил через avz C:\WINDOWS\system32\ntkrnlpa.exe

Странно, что ваш компьютер ещё работает, после того как вы удалили системный файл.
Спасло, наверное, то, что он в базе безопасных и не был удален.
В логе ничего подозрительного.

[AndreyKa]

Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

[pavelaleksashev]

спасибо большое за помощь.. Всё почистилось, но я опять начал лазить по сайту pegast.ru и началось всё заново.. при включенном касперском 2009 с последними обновлениями и последних обновлениях windows xp(это 100%).

avz нашел там какие-то подозрительные процессы к explorer.exe, после удаления которых explorer.exe вообще пропал..
принял решение переустановить полностью windows

Прошу закрыть тему и продолжить решать данный вопрос уже в новой теме http://virusinfo.info/showthread.php?t=48826