Подозрение на вирус seekservice115.exe

[FixeR_m]

С недавнего времени появился подозрительный процесс seekservice115.exe. А также почему-то перестал работать интернет на втором компе через этот (как шлюз). Может это не связано, но решил проверится.
В системе стоит AVP, полная проверка результатов не дала.
Через FileMon выяснил, что seekservice115.exe обращается к каким-то файлам (могу выслать список) + трогает файл hosts.
И ещё: очень странная проблема, в IM RnQ (клиент аськи) ни с того ни с сего поменялись шрифты, читать их очень сложно. Причем никаких настроек шрифтов в программе нет. RnQ работает вобще без установки.

Система - WinXP SP3

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\1.exe','');
 DeleteService('C3AD4748');
 QuarantineFile('C:\WINDOWS\system32\BA6513F8.EXE','');
 DeleteFile('C:\WINDOWS\system32\BA6513F8.EXE');
 DeleteFile('C:\WINDOWS\1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
такой http://www.gmer.net/ лог сделайте ...

[FixeR_m]

Выполнил скрипт AVZ.
Сделал полное сканирование Gmer-ом.
В процессе сканирования вылезло предупреждение:

"Gmer has found system modification caused by rootkit activity".

Загрузил карантин. 666 КБ

Файл сохранён как 090807_215546_virus_4a7c6aa259304.zip
Размер файла 682738
MD5 0678191d5870c8039041e73a7a115137

Прикрепил лог Gmer.

[V_Bond]

сохраните содержимое как 1.bat в папке со gmer запустите

Код:

gmer.exe -del service gjxiigk
gmer.exe -del service miyjba    
gmer.exe -del file "C:\WINDOWS\system32\gnbpbgl.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gjxiigk"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\miyjba"                                                                                                                    
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gjxiigk"                                                                                                                        
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\miyjba"                                                                                                                             
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gjxiigk"                                                                                                                        
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\miyjba"           
gmer -reboot

повторите логи

[FixeR_m]

Сделал.
Меня всё же беспокоит seekservice115.exe. Не подскажете, что это?
В инете вобще ни слова про такой файл.

[V_Bond]

seekservice115.exe пришлите согласно приложения 2 правил

[FixeR_m]

Строго следуя правилам не получилось.

Ошибка карантина файла, попытка прямого чтения (seekservice115.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\seekservice115.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\seekservice115.exe)
Карантин с использованием прямого чтения - ошибка

Это и понятно, т.к. файл seekservice115.exe лежит в папке c:\documents and settings\all users\application data\seekservice\
Поэтому запаковал просто этот файл в архив ZIP с паролем virus.

Файл сохранён как 090808_001054_virus_4a7c8a4e104c5.zip
Размер файла 23342
MD5 462445c5f453bafa3b2e8f7382d3d637

[AndreyKa]

seekservice115.exe безопасный. Похоже, это компонент продукта SeekService Desktop Search.

[FixeR_m]

Да, проверил на вирустотале, ничего нет. Просто удалил эту программу.
Спасибо за помощь, думаю тему можно закрыть

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены