Подозрение на недолеченный вирус

[Inquisitоr]

Здравствуйте. Пару дней назад друг принес флешку с программой, которую он попросил перевести. Как оказалось чуть позже - с вирусом, причем KAV7 ничего не обнаружил. Так как у меня запрещен автозапуск с флешек, вирус не запустился, был найден мной, и принудительно проверен касперским еще раз. Результат - нулевой. Отправил на вирустотал, там результат был лучше - 34 антивируса среагировали. Отправил я этот вирус через вебформу в лабораторию, после чего благополучно о нем забыл. Стал устанавливать собственно, саму программу, которую требовалось перевести, перед этим проверив и её на вирусы. В процессе установки проактивная защита среагировала на скрытую установку, которую я естественно запретил и сделал откат изменений, так же нашло трояна в распакованном инсталле. Вроде всё почистил, но с того дня стал замечать что-то неладное. Сегодня при запуске браузера опять среагировала проактивная защита - файл без расширений из C:\Temp попытался внедрится в процесс браузера. Запретил, сделал откат изменений, проверил сам файл - чисто. На вирустотале результат - 3. Отправил его письмом в Лабораторию Касперкого, ответа (кроме автоматического) пока не получил. Чуть позже заметил появление лишних двух svchost, на которых через проверку tasklist /svc не висело ни одной службы. Убил вручную оба лишних, один через время сам запустился, и стал отъедать около 20 мб памяти. Обновил базы KAV, сделал полную проверку - результата ноль (кроме пары утилит, которые я сам занес в доверенные) Тогда проверился с помощью AVZ, который нашел в потоке NTFS исполняемый файл, прикрепленный к svchost.exe. Логи и проверку системы, а так же карантин AVZ прикрепляю. Подскажите, вирус ли это, и как его, падлюку такую обезвредить. Заранее спасибо за помошь.

[pig]

Логи не те.
Внимательно прочитать, аккуратно выполнить
virus.zip пришлите по правилам, через красную ссылку.

[Inquisitоr]

Извиняюсь, я новичок на форуме. Вот нужные логи.

[Inquisitоr]

Вот еще посоветовали сделать проверку Gmer, лог прилагаю, нашло руткит.

[Inquisitоr]

Извиняюсь конечно, я знаю, что тут мне никто ничем не обязан, но подниму тему вверх, а то вообще никакой реакции нету.

Добавлено через 3 часа 17 минут

Еще раз подниму тему.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Inquisitоr]

Карантин прислал:
Файл сохранён как 100412_074343_virus_4bc296ef8ff7a.zip
Размер файла 33551
MD5 72cf70e6f002e51ee83d967bf80d289f
Логи тоже приложил. Судя по ощущениям, все чисто, лишних процессов не заметно. Большое Вам спасибо. Скажите, а можно узнать, что делал этот руткит? Т.е. стоит ли массово менять пароли?

[polword]

в логах чисто.
можете проделать процедуру описанную в первом сообщении тут

Обновитесь
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- поставте все последние обновления системы Windows - тут
- Обновите Java .

[Inquisitоr]

Файлы прислал, Java и IE устанавливаю, спасибо за помошь!

Добавлено через 9 минут

Цитата Cyber Helper'a из раздела [Для всех желающих нам помочь]
Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\Program Files\Hfs\hfs.exe: not-a-virus:Server-FTP.Win32.SFH.dc

Вопрос - почему мини-сервер считается вредоносным объектом?

[Inquisitоr]

И еще, скажите пожалуйста, это нормально, что неизвестный процесс периодически соединяется с рандомными адресами? (см. скриншот)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\admin\рабочий стол\*\новая папка (2)\brewers.exe - Trojan.Win32.Genome.hvny
  2. c:\windows\system32\svchost.exe:ext.exe:$data - Trojan.Win32.Agent.drmu ( DrWEB: Trojan.Inject.8402, BitDefender: Trojan.Fakealert.8469, AVAST4: Win32:Rootkit-gen [Rtk] )