[iskander-k]

Paul-SFL, Нужны ещё логи АВЗ. Выложите логи в соответствии с этими инструкциями.

[paulkorotoon]

Логи сделал. Второй скрипт выполнился со второй попытки: в первый раз вылез BSOD.

[thyrex]

Перед выполнением скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Пофиксить в HiJack

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O20 - AppInit_DLLs:

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\w_w124.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sdpiosys.sys','');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\rmqac.sys','');
 DeleteService('rmqac');
 DeleteService('graspptp');
 DeleteService('jwpdusb');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\mtunmp.sys','');
 DeleteService('mtunmp');
 QuarantineFile('C:\WINDOWS\system32\226.tmp','');
 DeleteService('MEMSWEEP2');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\jwpdusb.sys','');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\graspptp.sys','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 DeleteService('bcowzxywo');
 QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll','');
 DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WINDOWS\system32\226.tmp');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\mtunmp.sys');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\jwpdusb.sys');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\graspptp.sys');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\rmqac.sys');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\w_w124.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Выполнить дополнительно
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[paulkorotoon]

Сделал новые логи.
P.S. Снова выскочил BSOD, после выполнения скриптов в AVZ и подготовки лога HJT, через пару секунд после закрытия последнего. Дампы на рассмотрение стоит выложить? Или ничего серьезного?

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится v3mkg7j9.exe (gmer)

Код:

v3mkg7j9.exe -del service dliodohse
v3mkg7j9.exe -del service gasirpzc
v3mkg7j9.exe -del service gbicf
v3mkg7j9.exe -del service mbeldvj
v3mkg7j9.exe -del file "C:\WINDOWS\system32\vhwzgazn.dll"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasirpzc"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gbicf"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\gbicf"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet014\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet014\Services\gbicf"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet014\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet015\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet015\Services\gbicf"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet015\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\gasirpzc"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\gbicf"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\mbeldvj"
v3mkg7j9.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

Плюс ответьте на вопрос: зачем Вам два файрволла - Online Armor и Comodo?

[paulkorotoon]

Ответ от Лаборатории Касперского:
"Здравствуйте,
DefaultSearch.dll
Вредоносный код в файле не обнаружен.
Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений."
Насчет файерволлов: у меня только ОА стоит, от COMODO ошметки остались просто.. Экспериментировал когда-то с совмещением двух брандмауэров ..

[thyrex]

Выполняйте скрипт для gmer и сделайте новый лог

[paulkorotoon]

Сделал.
При выполнении скрипта было несколько ошибок, насколько я понял, отсутствовали некоторые файлы и ключи реестра. Не страшно?

[thyrex]

В логе чисто. Изменения в работе IE есть?

Если не изменилось, проверьте, не отмечен ли пункт Работать автономно в меню Файл