Rootkit: hidden service - mpvmym.sys

Доброй ночи. есть нубук (win XP Home SP2) с просроченым DrWebom и кучей системных ошибок.
После полной отмены автозапуска (около 50 процессов),
мастера поиска и устранения проблем в AVZ,
чистки Auslogics BoostSpeed компьютер заработал как новый.
Единственное огорчало выбивание интернета с USB-Megafon.
Запустил экспресс проверку системы Авастом Free 5.0.545
Был найден Rootkit: hidden service по пути c:\\windows\system32\drivers\mpvmym.sys
Перемецение в карантин не увенчалось успехом. Применил удаление, отложенное до следующей перезагрузки...
В общем, после созерцания голубого фона от Аваста и синего BSOD система не пошла.
Из Safe mode (полчаса точно система грузилась) сделан откат системой восстановления.
И, о чудо, система ожила! сейчас проверяю Cureltom DrWeb.
Прикреплённые логи сделаны сразу после восстановления системы. Что делать с mpvmym.sys? В нете нет никакой инфы!
Спасибо.

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-7738836454-1353336422-032777424-1048\yv8g67.exe','');
QuarantineFile('C:\DOCUME~1\АМАЛИЯ\LOCALS~1\Temp\127750.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\zz66q86c8.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\zppfl66c8.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\x70tjp60rx.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\wbrx60zfpa.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\upql081sde.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\u6k81whid.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\tpp66g86.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\s3ezf60hnx.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\q86c81ozavl.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\pu81grsnde.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\m0ndj66a.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\lmhxytjk.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\kfvwrhid.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\kfbb2hxyt.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\kf081mxy.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\jkfl60ntdzu.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\jkfgb081.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\ggwxc86o.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\fgbrsnde.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\eu0vlr66i8.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\ejufgbrs.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\di81ufgbrs.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\csi0jzk2lm.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\bwxc86o81a.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\bcx081epql.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\91almhx.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\81s2tjk.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\70qqgw0.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\6o81alm.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\5w1mns8.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\1x70eeu.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\1m86y81.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\081yjkf.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\03e0fvb.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Application Data\Microsoft\jessezoo.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\jessezoo.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\03a0brx.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Application Data\juzjf.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\uudsfnez.sys','');
QuarantineFile('C:\Documents and Settings\Амалия\Application Data\Microsoft\denudoo.exe','');
QuarantineFile('C:\Documents and Settings\Амалия\Application Data\Microsoft\zyrur.exe','');
DeleteFile('C:\Documents and Settings\Амалия\Application Data\Microsoft\zyrur.exe');
DeleteFile('C:\Documents and Settings\Амалия\Application Data\Microsoft\denudoo.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\uudsfnez.sys');
DeleteFile('C:\Documents and Settings\Амалия\Application Data\juzjf.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\03a0brx.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\jessezoo.exe');
DeleteFile('C:\Documents and Settings\Амалия\Application Data\Microsoft\jessezoo.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\03e0fvb.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\081yjkf.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\1m86y81.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\1x70eeu.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\5w1mns8.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\6o81alm.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\70qqgw0.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\81s2tjk.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\91almhx.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\bcx081epql.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\bwxc86o81a.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\csi0jzk2lm.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\di81ufgbrs.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\ejufgbrs.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\eu0vlr66i8.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\fgbrsnde.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\ggwxc86o.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\jkfgb081.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\jkfl60ntdzu.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\kf081mxy.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\kfbb2hxyt.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\kfvwrhid.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\lmhxytjk.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\m0ndj66a.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\pu81grsnde.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\q86c81ozavl.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\s3ezf60hnx.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\tpp66g86.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\u6k81whid.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\upql081sde.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\wbrx60zfpa.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\x70tjp60rx.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\zppfl66c8.exe');
DeleteFile('C:\Documents and Settings\Амалия\Главное меню\Программы\Автозагрузка\zz66q86c8.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','msacm.mkdmp3enc');
DeleteFile('C:\RECYCLER\S-1-5-21-7738836454-1353336422-032777424-1048\yv8g67.exe');
DeleteFile('C:\DOCUME~1\АМАЛИЯ\LOCALS~1\Temp\127750.exe');
DeleteFile('C:\WINDOWS\system32\wuaucldt.exe');
DeleteFile('C:\Documents and Settings\Амалия\wuaucldt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=95980[/url]).

[b]Обновите базы AVZ[/b] и сделайте новые логи.

Восстановление системы отключил.
карантин, выложил.
AVZ обновил.
Вот новые логи.

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
[/code]
Очистите карантин DrWeb'a (C:\Documents and Settings\Амалия\DoctorWeb\Quarantine).

Больше ничего плохого не видно.

Ставьте SP3 и последующие обновления, иначе результат недолго будет Вас радовать ;).

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]86[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]