Nod периодически находит fjhdyfhsn.bat BAT/KillFiles.NCB trojan и svhost грузит на 50% ЦП.

Нод начал переодически находить эту гадость fjhdyfhsn.bat BAT/KillFiles.NCB trojan и svhost грузит цп
[I] на 50%.Кусок лога нода приведен.[/I]
[I][COLOR=darkslategray]09.03.2010 12:20:10 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.
25.02.2010 13:56:45 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.
24.02.2010 13:28:58 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.
23.02.2010 15:04:02 Real-time file system protection file C:\WINDOWS\system32\drivers\aec.sys a variant of Win32/Rootkit.Kryptik.AF trojan unable to clean NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\IEXPLORE.EXE.
23.02.2010 15:03:48 Real-time file system protection file C:\WINDOWS\system32\fjhdyfhsn.bat BAT/KillFiles.NCB trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\cmd.exe.[/COLOR][/I]
После запуска стандартного скрипта в AVZ нашелся один вирус в автозагрузке и svhost уже не грузит цп.Не могли бы вы подсказать остались ли еще хвосты?Логи привожу.Спасибо!

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\winesm32.exe','');
QuarantineFile('C:\WINDOWS\TEMP\~TMA6.tmp','');
DeleteFile('C:\WINDOWS\TEMP\~TMA6.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\winesm32.exe');
DeleteFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\monnid32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Сделайте лог Gmer!!

Скрипт выполнил,карантин отправил,логи прикладываю.Вот только gmer у меня ноут в синий экран выносит:( Спасибо!

Скачайте утилиту и запустите--[URL]http://support.kaspersky.ru/kis2009/error?qid=208636215[/URL]
Затем пробуйте сделать лог Gmer.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svhost.exe','');
DeleteFile('C:\WINDOWS\svhost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Кидокилер ничего не нашел, gmer в нормальном режиме так и вылетает в синий экран,а вот в сейф моде под админом запускается,лог ниже прикладываю.Скрипт выполнил,логи считал,приложил.Тенкс:>

Сохраните текст ниже как cleanup.bat в ту же папку, где находится o6tmomft.exe (gmer)
[CODE]o6tmomft.exe -del service dlmbwysy
o6tmomft.exe -del file "C:\WINDOWS\system32\drivers\dlmbwysy.sys"
o6tmomft.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dlmbwysy"
o6tmomft.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dlmbwysy"
o6tmomft.exe -reboot[/CODE]
И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer

Через батник не получилось ,ругалось на нет такой службы и файла,остановил и удалил службу руками.dlmbwysy.sys на всякий случай заархивировал и сохранил.gmer по прежнему запускается только в сейфмоде до конца проверить файлы не успел надо с работы уходить,но в них вроде изменений никаких не должно быть.лог gmer привожу.

[QUOTE='Razorua;601138']dlmbwysy.sys на всякий случай заархивировал и сохранил[/QUOTE]
Установите на архив пароль virus и закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Проверим, что за драйвер.

[size="1"][color="#666686"][B][I]Добавлено через 53 секунды[/I][/B][/color][/size]

В логе чисто, что с проблемой?

Архив с паролем virus закачал и положил туда кусочек реестра на всякий случай.С системой щас вроде все отлично.Поживем увидим.Огромное спасибо.
п.с. если не трудно потом будет написать что за зверь такой,или кинуть ссылку на инфу о нем,просто любопытство.

Результат анализа файла dlmbwysy.sys: [COLOR=Red]KIS 2009=Зловред Rootkit.Win32.Agent.bdov[/COLOR]; [COLOR=Green]DrWEB 5.0=Файл чистый[/COLOR]; [COLOR=Green]VBA32=Файл чистый[/COLOR]; [COLOR=Red]BitDefender=Зловред Rootkit.Nixoa.A[/COLOR]; [COLOR=Red]NOD32=Подозрение Win32/Rootkit.Kryptik.AF trojan[/COLOR]; [COLOR=Red]Avast4=Зловред Win32:Rootkit-gen [Rtk][/COLOR]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \dlmbwysy.sys - [B]Rootkit.Win32.Agent.bdov[/B] ( DrWEB: Trojan.NtRootKit.6360, BitDefender: Rootkit.34159, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]