Вирусы "ext.exe + mfdyth.dll" помогите справиться [Trojan.Win32.Agent.bakx ]

[Fatjev]

Уже неделю пытаюсь вылечить комп от вирусов. Машина загружается и выгружается по десять минут, все жутко тормозит, запустить что-либо почти не реально. Стоит ХР сп2. антивирус НОД 32. Кое как удалось посмотреть карантин НОДа. В карантине НОД борится с файлом Windows\system32\mfdyth.dll постоянно удаляет его, а тот по-ходу сам себя востанавливает, и так по кругу. За день количество атак переваливает за 30000, возможно из-за этой "борьбы" все и тормозит. Dr. Web CureIt тоже находит этот вирус но удалить и вылечить не может, он опять же востанавливается (иногда рядом появляется файл mfdyth32.dll - тоже НОДом определяется как вирус, но его появление какое-то хаотичное, он то есть, то его нет. Также иногда появляются файлы mfdyth.bak и mfdyth32.bak). Из лога HiJackThis увидел, что есть также проблема с вирусом ext.exe. Из-за какой-то лицензионной штуки на этом компе, начальство запретило переустанавливать систему. Помогите вылечить пожалуйста.
Заранее благодарен!!!

[light59]

Скачать IceSword
-Запустите программу. Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл

Код:

C:\WINDOWS\system32\Drivers\ati6vbxx.sys

-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".
В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\d52X6S7U.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ati6vbxx.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati6vbxx.sys');
 DeleteService('ati6vbxx');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6vbxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati0lqxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati0xdxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1uaxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati2nsxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati2ubxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati3lqxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati3rxxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati5inxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati5uaxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati5wcxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6hmxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6lpxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6uyxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati7vbxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati8qvxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati8xcxx.sys');
 DeleteFile('C:\WINDOWS\system32\d52X6S7U.exe');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
 DeleteService('FCI');
BC_ImportALL;
 BC_DeleteSvc('ati8xcxx');
 BC_DeleteSvc('ati8qvxx');
 BC_DeleteSvc('ati7vbxx');
 BC_DeleteSvc('ati6uyxx');
 BC_DeleteSvc('ati6lpxx');
 BC_DeleteSvc('ati6hmxx');
 BC_DeleteSvc('ati5wcxx');
 BC_DeleteSvc('ati5uaxx');
 BC_DeleteSvc('ati5inxx');
 BC_DeleteSvc('ati3rxxx');
 BC_DeleteSvc('ati3lqxx');
 BC_DeleteSvc('ati2ubxx');
 BC_DeleteSvc('ati2nsxx');
 BC_DeleteSvc('ati1uaxx');
 BC_DeleteSvc('ati0xdxx');
 BC_DeleteSvc('ati0lqxx');
 BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36485

"Пофиксите" в HijackThis

Код:

O20 - Winlogon Notify: mfdyth - C:\WINDOWS\

Очистите все задания "Планировщика задач"

Повторите логи по правилам.

[Fatjev]

1. Запустил IceSword
2. Удалил C:\WINDOWS\system32\Drivers\ati6vbxx.sys
3. Код выполнил (правда компьютер сам не перезагрузился, подвис. Пришлось кнопкой перезагружать)
4. Карантин выслал (там правда был только один файл svchost.exe:ext.exe)
5. Профиксил O20 - Winlogon Notify: mfdyth - C:\WINDOWS\
6. Перезагрузил
7. Логи повторно прикрепил

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteAVUpdate;
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati6vbxx.sys');
 DeleteFile('F:\autorun.inf');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(1);
 BC_DeleteSvc('ati6vbxx');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=36485

3. Пофиксите в HijackThis:

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZCxdm451YYUA
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[Fatjev]

1. Восстановление системы и антивирус отключил
2. Скрипт выполнил (компьютер перезагрузился нормально)
3. Карантин выслал (три файла на диске F:\avtorun.inf, это флэшка)
4. Профиксил
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZCxdm451YYUA
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing) (в правилах написано что строки с О23 фиксятся по-особенному, я так и не понял какую службу отключать, поэтому зафиксил стандартно через Fix)
5. Перезагрузил
6. Логи (2 штуки) повторно прикрепил

[Aleksandra]

Ничего зловредного в логах нет.

[Fatjev]

Проверить работоспособность смог только сегодня (праздники )
Спасибо большое, все помогло компьютер загружается долго, но уже не тормозит в процессе работы. По-поводу загрузки есть подозрение на то, что по-тихоньку сыпется винчестер (пока загружается странно стучит).
Еще раз спасибо

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Agent.bakx (DrWEB: Trojan.Cipher.227)