новый вирус dllhosl.exe, как лечить? антивирусы не распознают

[normal-one]

поймал какой-то новый вирус. после борьбы с ним путем убивания процессов из диспетчера задач, вычищением автозапуска в реестре и убивания файлов процессов в system32 полностью победить не удалось и ситуация такая:
1. в папке windows\system32 лежит файл dllhosl.exe (на конце буква L, а не t), который не только не удаляется, но даже прочитать его невозможно!
2. при удалении вручную из реестра ключа HKU/.../Software/Microsoft/Windows/CurrentVersion/Policies/Run параметра "System Rescue" (это место где файл в реестре прописался) и перезагрузки он все равно там появляется.
3. При загрузке выскакивает окно с заголовком dllhosl.exe и черным экраном внутри с полосой прокрутки (как будто командный файл выполняется). Окно и процесс убить можно.
4. Периодически выскакивает синее окно смерти, причина появления - неизвестна. Если после этого просто перезагрузить - то оно же и появится. А если сделать "загрузку с последними рабочими параметрами", то винда загрузится.

выкладываю лог http://webfile.ru/5162482 имя файла hijackthis.log
Скачать hijackthis.log с WebFile.RU

яндекс про такой файл ничего не знает, гугл выдает ссылки с двух сайтов где дают рекомендации удалить файл (а удалить не получается!) и ссылки эти от конца февраля этого года.
Что делать????

[Гризлик]

Цитата:

Сообщение от normal-one

выкладываю лог http://webfile.ru/5162482 имя файла hijackthis.log
Скачать hijackthis.log с WebFile.RU

А где лог от AVZ????
Профиксите от HijackThis

Код:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O16 - DPF: {34E60EF0-8825-4AD8-ABED-ADC2F358F2C9} - https://transact.kmb.ru/code/3.17.4.280/bsssl.cab
O16 - DPF: {D8949968-188F-4E9A-9E5A-FF5EB0F5128D} - https://transact.kmb.ru/code/3.17.5.30/cr_msapi.cab
O23 - Service: Websense CPM Report Scheduler (a80lzioo36) - Unknown owner - C:\WINDOWS\system32\pynnummalup.exe (file missing)

[normal-one]

лог AVZ сделал, лежит здесь
Скачать virusinfo_syscure.zip с WebFile.RU
почему-то после запуска этого AVZ и перезагрузки в процессах в диспетчере задач появился BeTwinServiceXP.exe - это нормально?

HiJack удалил все, что вы рекомендовали, кроме
O23 - Service: Websense CPM Report Scheduler (a80lzioo36) - Unknown owner - C:\WINDOWS\system32\pynnummalup.exe (file missing)

этого файла действительно на диске нет. Может это как-то связано с файлом dllhosl.exe? (который не читается даже и не удаляется)

еще попробовал в реестре обмануть вирус, сделал безвредный файл dumb.bat и указал на него в реестре, во всех местах где упоминался dllhosl.exe. Не помогло - после перезагрузки в реестре все восстанавливается и dllhosl.exe загружается

[goredey]

normal-one, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\docume~1\admin\locals~1\temp\dllhosl.exe','');
 DeleteFile('c:\docume~1\admin\locals~1\temp\dllhosl.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Обновите базы повторите логи!

[normal-one]

AVZ
Скачать virusinfo_syscure.zip с WebFile.RU
HiJack
Скачать hijackthis.log с WebFile.RU

dllhosl.exe не загрузился, а файл вируса на диске стал открываться! Убить его?
BeTwinServiceXP.exe теперь грузится постоянно
и еще появился процесс msszfqfi.exe, причем он как-то не сразу появился, а спустя некоторое время после загрузки. Я его убил, он через полчаса снова появился. Что это, тоже вирус?

[goredey]

Цитата:

Сообщение от normal-one

а файл вируса на диске стал открываться! Убить его?

Кого вы все время хотите убить?
BeTwinServiceXP.exe - это легал

normal-one, Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
обновите потом выполните 3 и2 стандартные скрипты. Два отчета приложите
+
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[normal-one]

Скачать virusinfo_syscheck.zip с WebFile.RU
Скачать virusinfo_syscure.zip с WebFile.RU
два скрипта выполненных

по поводу программы RSIT: по первой ссылке не скачивается, говорит "нет связи с сервером", по второй говорит что нет такого файла и перенаправляет на какую то общую страницу где никаких RSIT нет. Так что запустить эту прогу мне не удалось

кстати, вирус себя особо не проявляет сейчас, даже перестал грузиться dllhosl.exe, но сам файл на диске есть и неизвестно будет он себя в будущем проявлять или нет

[Гризлик]

normal-one, ВЫполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\dllhosl.exe','');
 QuarantineFile('C:\WINDOWS\system32\pynnummalup.exe','');
 DeleteService('a80lzioo36');
 StopService('a80lzioo36');
 DeleteFile('C:\WINDOWS\system32\pynnummalup.exe');
 DeleteFile('C:\WINDOWS\system32\dllhosl.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки повторите лог.

[normal-one]

Скачать virusinfo_syscheck.zip с WebFile.RU
Скачать virusinfo_syscure.zip с WebFile.RU
логи выкладываю, похоже все удалилось ненужное!

если так, БОЛЬШОЕ СПАСИБО!!!

[Гризлик]

normal-one, Логи чистые. Если проблем больше нет, то можно закончить