Вирус. (заявка №68790)

[CyberHelper]

Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
Через некоторое время пропадает звук и отключается доступ в интернет. В диспетчере задач есть процесс ekrn.exe который я не могу убрать (отказ в доступе - недостаточно прав), он занимает много оперативной памяти (из 4gb).

Анализ от AVP Tool:

Сбор информации о системе: завершено 1 минуту назад (событий: 103)
01.05.2011 12:46:25 Сбор информации о системе Задача завершена
01.05.2011 12:45:58 >> Проводник: включить отображение расширений для файлов известных системе типов
01.05.2011 12:45:58 >> Отключить автозапуск с CD-ROM
01.05.2011 12:45:58 >> Тайм-аут завершения служб находится за пределами допустимых значений
01.05.2011 12:45:58 >> Тайм-аут завершения процессов находится за пределами допустимых значений
01.05.2011 12:45:58 >> Заблокирована настройка автоматического обновления
01.05.2011 12:45:56 >> Нарушение ассоциации REG-файлов
01.05.2011 12:45:55 >>> C:\WINDOWS\ghdrive32.exe Эвристический анализ системы: подозрение на Файл с подозрительным именем (CH - Autorun) (высокая степень вероятности)
01.05.2011 12:45:45 >>> C:\WINDOWS\system32\56.exe Эвристический анализ системы: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
01.05.2011 12:45:45 >>> C:\WINDOWS\system32\35.exe Эвристический анализ системы: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_PNP] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_SET_EA] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_WRITE] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_CLOSE] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 \FileSystem\ntfs[IRP_MJ_CREATE] = 8AEC41F8 -> перехватчик не определен
01.05.2011 12:45:31 Disable callback OK
01.05.2011 12:45:31 CmpCallCallBacks = 0014509C
01.05.2011 12:45:31 >>> Код перехватчика нейтрализован
01.05.2011 12:45:31 >>> Функция восстановлена успешно !
01.05.2011 12:45:31 Функция NtWriteVirtualMemory (115) перехвачена (805885C2->B4781750), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
01.05.2011 12:45:31 >>> Код перехватчика нейтрализован
01.05.2011 12:45:31 >>> Функция восстановлена успешно !
01.05.2011 12:45:31 Функция NtTerminateThread (102) перехвачена (805838EF->B47815D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
01.05.2011 12:45:31 >>> Код перехватчика нейтрализован
01.05.2011 12:45:31 >>> Функция восстановлена успешно !
01.05.2011 12:45:31 Функция NtTerminateProcess (101) перехвачена (8058E695->B47814D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
01.05.2011 12:45:31 >>> Код перехватчика нейтрализован
01.05.2011 12:45:31 >>> Функция восст
Дата обращения: 01.05.2011 13:06:12
Номер заявки: 68790

[CyberHelper]

01.05.2011 20:30:05 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. c:\\windows\\ghdrive32.exe - HEUR:Trojan.Win32.Generic
   
   • размер: 46536 байт
   • дата файла: 30.04.2011 10:32:02
   • детект других антивирусов: BitDefender: Зловред Trojan.Generic.KD.207405
2. C:\\WINDOWS\\system32\\35.exe - HEUR:Trojan.Win32.Generic
   
   • размер: 23680 байт
   • дата файла: 30.04.2011 22:26:56
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader2.47387; BitDefender: Зловред Trojan.Generic.KD.207405; Avast4: Зловред Win32:Downloader-GWB [Trj]
3. C:\\WINDOWS\\system32\\56.exe - HEUR:Trojan.Win32.Generic
   
   • размер: 23680 байт
   • дата файла: 30.04.2011 10:29:46
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader2.47387; BitDefender: Зловред Trojan.Generic.KD.207405; Avast4: Зловред Win32:Downloader-GWB [Trj]
4. C:\\WINDOWS\\System32\\Drivers\\sptd.sys - подозрительный, обрабатывается вирлабом
   
   • размер: 717296 байт
   • дата файла: 25.09.2009 20:13:20
   • версия: "1.56.0.0 built by: WinDDK"
   • копирайты: "Copyright (C) 2004"
5. C:\\WINDOWS\\system32\\35.exe - HEUR:Trojan.Win32.Generic
   
   • размер: 23680 байт
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader2.47387; BitDefender: Зловред Trojan.Generic.KD.207405; Avast4: Зловред Win32:Downloader-GWB [Trj]
6. C:\\WINDOWS\\system32\\56.exe - HEUR:Trojan.Win32.Generic
   
   • размер: 23680 байт
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader2.47387; BitDefender: Зловред Trojan.Generic.KD.207405; Avast4: Зловред Win32:Downloader-GWB [Trj]
7. C:\\WINDOWS\\System32\\Drivers\\sptd.sys - подозрительный, обрабатывается вирлабом
   
   • размер: 717296 байт
   • версия: "1.56.0.0 built by: WinDDK"
   • копирайты: "Copyright (C) 2004"

[CyberHelper]

08.05.2011 21:30:11 лечение успешно завершено