[Blast]

файл mstmdm.dll, что за зверь? - для вас действия те же

[Solker]

Добавил логи, следуя инструкции.

[Pili]

Solker, В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('2shxne');
 StopService('a0c8y6');
 StopService('mxdispdr');
 SetServiceStart('mxdispdr', 4);
 StopService('acpidisk');
 SetServiceStart('acpidisk', 4);
 StopService('SoSCAR');
 SetServiceStart('SoSCAR', 4);
 StopService('sysloader');
 SetServiceStart('sysloader', 4);
 StopService('spoo1v');
 SetServiceStart('spoo1v', 4);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll','');
 QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9YE.EXE','');
 QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oc7vbj.sys','');
 QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\devis.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\2shxne.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\spoo1v.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE','');
 QuarantineFile('C:\WINDOWS\system32\drivers\acpidisk.sys','');
 QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FUIC19YE.DLL','');
 QuarantineFile('D:\CARDSERV\Cardserv.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mxdispdr.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\a0c8y6.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\2shxne.sys','');
 QuarantineFile('C:\WINDOWS\system32\winlib .dll','');
 QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\finder.dll','');
 QuarantineFile('i3xawuo6t5.dll','');
 DeleteService('mxdispdr');
 DeleteService('acpidisk');
 DeleteService('spoo1v');
 DeleteService('sysloader');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\finder.dll');
 DeleteFile('C:\WINDOWS\system32\msplrct.dll');
 DeleteFile('C:\WINDOWS\system32\winlib .dll');
 DeleteFile('C:\WINDOWS\system32\drivers\mxdispdr.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\acpidisk.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll');
 DelBHO('{EE60714F-AC17-427e-861A-FD60CBDF119A}');
 DelBHO('{C86488AF-13D5-4FEF-9DDF-9FB88698CFC1}');
 DelBHO('{385AB8C6-FB22-4D17-8834-064E2BA0A6F0}');
BC_ImportAll;
ExecuteSysClean;
 BC_QrFile('C:\WINDOWS\system32\Drivers\2shxne.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\acpidisk.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\mxdispdr.sys');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (что найдется)

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zhaodao123.com/?h
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://client.jogo.cn/cdn/browser/customsearch/customsearch-en.html
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: Adobe Common Objects - {C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll
O9 - Extra button: ТЧИ¤№єОп - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra 'Tools' menuitem: ТЧИ¤№єОп - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O24 - Desktop Component 0: (no name) - http://img-fotki.yandex.ru/get/13/marmarix2.5/0_7584_c8be6c3c_-1-orig

Цитата:

база от 02.06.2008

Обновите антивируную базу AVZ и повторите логи. Вы помощью AVPTool проверяли систему?

[Solker]

Карантинные файлы выслал на указанный email.
Выполнил все выше перечисленное.
Повторяю логи.

С помощью AVPTool не проверял систему. Стоит DrWeb.

[Pili]

По касперскому:
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll - AdWare.Win32.IEHlpr.hb
C:\WINDOWS\system32\drivers\devis.sys -Trojan.Win32.Zapchast.ew
C:\WINDOWS\System32\DRIVERS\2shxne.sys - Trojan-Downloader.Win32.Hmir.sm
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe - Trojan-Downloader.Win32.Agent.pfh, Trojan-Downloader.Win32.Agent.jdz
C:\WINDOWS\system32\drivers\mxdispdr.sys - Trojan.Win32.Inject.tf
C:\WINDOWS\system32\drivers\a0c8y6.sys - Trojan-Downloader.Win32.Hmir.dje
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\finder.dll - Trojan-Downloader.Win32.Agent.pfh
C:\WINDOWS\system32\drivers\acpidisk.sys - новый, RKIT/Cinmus.M по AntiVir по VT тут

Где лог hijakthis?

Скачайте IceSword, запустите, выберите в меню File, появится аналог проводника, найдите в нем указанные файлы (если найдутся)
нажмите по файлам правой кнопкой мыши и скопируйте файлы

Код:

C:\WINDOWS\system32\drivers\ga4kemtko.sys
C:\WINDOWS\system32\drivers\oc7vbj.sys
C:\WINDOWS\SYSTEM32\spoo1v.exe

в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to..., потом удалите файлы

Код:

C:\WINDOWS\System32\DRIVERS\2shxne.sys
C:\WINDOWS\system32\drivers\a0c8y6.sys
C:\WINDOWS\system32\drivers\ga4kemtko.sys
C:\WINDOWS\system32\drivers\oc7vbj.sys
C:\WINDOWS\system32\drivers\devis.sys
C:\WINDOWS\SYSTEM32\spoo1v.exe

с помощью force delete (прав. кн. мыши, на запрос подтверждения ответьте "да").
Скопированные файлы запакуйте в архив с паролем virus и пришлите, потом выполните скрипт

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('oc7vbj');
 SetServiceStart('oc7vbj', 4);
 StopService('ga4kemtko');
 SetServiceStart('ga4kemtko', 4);
 StopService('a0c8y6');
 SetServiceStart('a0c8y6', 4);
 StopService('2shxne');
 SetServiceStart('2shxne', 4);
 StopService('devis');
 SetServiceStart('devis', 4);
 QuarantineFile('C:\WINDOWS\SYSTEM32\spoo1v.exe','');
 QuarantineFile('C:\WINDOWS\LIVING~1.SCR','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oc7vbj.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE','');
 DeleteFile('C:\WINDOWS\system32\drivers\devis.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\a0c8y6.sys');
 DeleteFile('spoo1v.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\2shxne.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\oc7vbj.sys');
 DeleteService('2shxne');
 DeleteService('a0c8y6');
 DeleteService('ga4kemtko');
 DeleteService('oc7vbj');
 DeleteService('devis');
 DeleteService('spoo1v');
 BC_QrFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE');
 BC_QrFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\a0c8y6.sys');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\devis.sys');
 BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\2shxne.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\oc7vbj.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_QrSvc('SoSCAR');
 BC_QrSvc('spoo1v');
 BC_DeleteSvc('devis');
 BC_DeleteSvc('oc7vbj');
 BC_DeleteSvc('ga4kemtko');
 BC_DeleteSvc('a0c8y6');
 BC_DeleteSvc('2shxne');
 BC_DeleteSvc('spoo1v');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему
Рекомендую провериться с помощью AVPTool
Повторите логи

[Solker]

Через IceSword удалил C:\WINDOWS\System32\DRIVERS\2shxne.sys, других попросту не было.
Запустил очередной скрипт для AVZ, ошибка пропала.
Следовательно спасибо.

Если quarantine.zip еще нужен, вышлю в ближайшее время.

[Pili]

Solker, quarantine.zip нужен. По некоторым файлам из предыдущего карантина ждем ответа из вирлаба. Повторите логи.