File Downloder: помогите избавиться от aekgoprn.dll

[ak12]

Здравствуйте !
Подхватил File Downloader. После вычистки системы NOD-ом, Trojan Remover-ом блокировки ушли, в безопасном режиме ничего не находится, в обычном режиме следы паразита остались:
AVZ показывает aekgoprn.dll висящую на wininit, svchost, spoolsv и еще на нескольких процессах, включая ekrn.
Помогите, пожалуйста.
Спасибо заранее.

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[ak12]

skrip vipolnil. posle chego perestal avtomaticheski zagrugat'sa draiver perekluchenia raskladki klaviatury.
poetomu pichu translitom.
log prilogen.

[snifer67]

1. запустить программку, что в аттаче. ПК будет перезагружен.
2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
3.Сделайте новые логи.

[ak12]

пишу с другого (незараженнного) компьютера, так как на зараженном не переключается раскладка клавиатуры на русский (причем до входа раскладка переключается, а после входа в систему переключение раскладки уже не работает), а транслитом писать неудобно.

Сделано было следующее:
1. скачана утилита get2 и распакована.
2. отключен NOD и Защитник Виндовс.
3. запущена с правами админа утилита get.exe
4. после этого первого запуска быстро проскочило окошко с надписью типа "....прав недостаточно для выполнения..." и комп ушел в перезагрузку.
5. после перезагрузки в обычном режиме п2 и п3 были повторены. окошек с предупреждениями замечено не было и комп ушел в перезагрузку.
6. после перезагрузки попытался найти файл swenum.sys на диске C включая все под-папки. ни в ручную в C:\Windows\System32\drivers\, ни стандартными средствами через проводник и Ctrl+F по маске swenum и swenum.sys данный файл не обнаружен.
соответственно, удалить его не удалось.
поиск выполнял и в защищенном и в обычном режиме.
7. после перезагрузки в обычном режиме, со включенными NOD32 и Защитник Виндовс был запущен под админом AVZ и выполнен стандартный скрипт №2
лог приложен.

что делаем дальше ?

[ak12]

ПРИМ: оперативно поставить новый файл swenum.sys не могу по простой причине: под рукой нет диска восстановления или системы с Windows Vista х32. пока ищу где взять этот файл

[ak12]

вручную восстановил swenum.sys
перезагрузился. просканировал оперативную память NOD-ом: проблем не найдено.
выключил NOD и просканировал AVZ систему стандартным скриптом №2.
Лог приложен.
Из видимых проблем замечено:
а.) не работает переключение клавиатуры RUS/LAT через Ctr+Shft и отсутвует языковая панель.
Хотя настройки в "Панель управления - Языки и регион стандарты" нормальные и через панель управления язык переключить можно.

Жду вашего дальнейшего совета. Спасибо.

[ak12]

to snifer67:
по вашему совету заменил system32\drivers\MSFS.SYS чистым с дистрибутива.
после перезагрузки синий экран и с десяток попыток вернуть систему к жизни.

реанимация состоялаясь путем FORMAT С:\ и переустановки системы.

в любом случае спасибо за оказанное содействие.