Здравствуйте, уважаемые хелперы. Прошу вашей помощи.

Подхватил что-то серьезное (предполагаю, из-за того, что брат иногда отключал файерволл Online Armor - я поленился сразу настроить его под Fallout3 :( ). Когда - не знаю; заметил сегодня, когда при быстром сканировании CureIt'ом выдало ошибку и сканер закрылся (при этом сказав, что обнаружил вирус, и выдав непонятные мне данные RC=3221225477).

Решил просканироваться GMER'oм, несколько раз во время проверки случался BSOD (http://forum.oszone.net/attachment.php?attachmentid=36510&stc=1&d=1261066519), в безопасном режиме тоже. (Может, правда, это было из-за Rootkit Revealer'a :unsure: , не знаю...)
GMER обнаружил скрытую службу, использующую svchost.exe, имя драйвера состояло из бессмысленного набора букв (что-то вроде "esvfmmni.sys"); также были записи в разделах HKLM\SYSTEM\CurrentControlSet\Services, там был указан пусть к dll-файлу (имя тоже произвольное). Поиском такого файла не нашел, драйвера подозрительной службы тоже.

Тут уж я, извините, занялся самолечением: снес скрытую службу в надежде, что работа компа станет постабильнее. По крайней мере, BSOD случился после завершения сканирования GMER'ом, лог прикрепляю ( :( ничего, касающегося скрытой службы, программа теперь не нашла..).

Сейчас снова провел быструю проверку CureIt'ом, - никаких ошибок не произошло. И вирусов не нашел (RC=160).

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

В хост-файл вы занесли столько адресов(несколько сотен) ?

лог прикрепляю »архив с логом Gmer и HiJackThis битый...

Решил просканироваться GMER'oм, несколько раз во время проверки случался BSOD, в безопасном режиме тоже »Такое иногда случается у этой программы. Например на моём компьютере BSOD'а нет, при выполнении сканирования, но экран гаснет стабильно и насовсем. Значит не судьба увидеть эти логи.

Файл Hosts вами правлен. Вы прописывали адреса?

Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('RegMonitorEx');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\DOGIUNJHW.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\GPJKYR.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\NGGYV.exe','');
QuarantineFile('C:\Program Files\WinPcap\rpcapd.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\litdpl.sys','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\esihdrv.sys','');
QuarantineFile('H:\Fxdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\mondrv.sys','');
QuarantineFile('C:\WINDOWS\system32\SVKP.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\TDIMSYS.SYS','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\TwmXlCor.sys','');
QuarantineFile('ultra.sys','');
QuarantineFile('spaf.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\mondrv.sys');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('RegMonitorEx');
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.


• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q=%s
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

Drongo, у меня архив нормально открывается. 7-Zip'ом паковал, - может, в этом проблема? Логи в .txt выкладываю.
В hosts записи добавлял Spybot S&D.

iskander-k, MBAM ничего не нашел. Сейчас выполню лечение и сделаю новые логи AVZ и HJT. GMER'ом или еще чем делать?

Все выполнил.
Правда, Advanced Launcher заглючил (http://forum.oszone.net/attachment.php?attachmentid=36526&stc=1&d=1261077466), переустановлю потом :) ..
Сейчас подготовлю логи.

Да, кстати, svchost.exe (1 из 5) сейчас что-то непривычно много ресурсов потребляет: 3-8 % нагрузки на ЦП и 21 Мб памяти..

Не, извините, логи только завтра выложу, щас не могу..

Ответ из антивирусной лаборатории:
Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

С уважением, Владислав Пинтийский
Вирусный аналитик

Новые логи:

Да, кстати, svchost.exe (1 из 5) сейчас что-то непривычно много ресурсов потребляет: 3-8 % нагрузки на ЦП и 21 Мб памяти.. »
В какие моменты потребляет ? У вас 21 Мб у меня 23Мб - думаю что это нормально.

Paul-SFL, А ну-ка, попробуйте выполнить скрипт. Компьютер перезагрузится. :)
begin
ExecuteRepair(6);
RebootWindows(true);
end.

iskander-k, сейчас вот перезагрузил комп, памяти 17 Мб, но меня больше нагрузка на ЦП интересует. Потребляет постоянно.. Я не уверен, что так не было всегда, просто в этот раз как-то бросилось в глаза :unsure: ..
Drongo, сейчас :) .
-----
Выполнил.

Выполнил. »Результат есть? Или как было?

Drongo, в "Моем компьютере" появилась папка "Web Folders". Состояние компа нормальное, по крайней мере каких-то видимых неполадок не наблюдается.

• Для отключения веб папки, выполните скрипт AVZ
begin
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Drongo, спасибо :) , то что нужно. Тему можно отметить решенной?

Paul-SFL, Если считаете, что решена - отмечайте. :)

Хорошо :) .
Можно вопрос: что это за зараза была :) ? Не из праздного любопытства спрашиваю, действительно интересно.

Paul-SFL, В системе остались остатки от драйвера AVZ и записи в реестре. Это и давало неизвестную службу и поиск неизвестного устройства. Некорректно отработала утилита видимо.

Во как.. Спасибо :) .