Как исправить последствия вируса?

[Dida]

Приветствую!
Хапнул вирусы:
C:\WINNT\system32\Parser2NDFL.dll инфицирован Trojan.DownLoader.origin
C:\WINNT\system32\drivers\asc3550u.sys инфицирован Trojan.Proxy.origin
C:\5.tmp инфицирован Trojan.Packed.147
Пролечил Dr.Web v4.44... (Удалил).. вроде все ОК... все работает, но... при подключении сетевого кабеля (локальная сеть) сразу перезагрузи системы. При выключении автоперезагрузки, машина вылетает в "Экран смерти"... сообщение: "KMODE_EXCEPTION_NOT_HANDLED". В журнале системы сообщение: Компьютер был перезагружен после критической ошибки: 0x0000001e (0xc0000005, 0x00000000, 0x00000000, 0x00000000).
Грешил на сетевую карту... поменял на другую, все так же перегружаемся. Попробовал воспользоваться утилитой WinsockFix, эффекта "0". Мне тут намекнули, что что-то с "сетевыми интерфейсами".... а как переустановить сетевые интерфейсы?
Подскажите хоть в какую сторону "копать" Что в системе не так и как подправить?
Заранее спасибо!

[borka]

Приветствую!
Хапнул вирусы:
C:\WINNT\system32\Parser2NDFL.dll инфицирован Trojan.DownLoader.origin
C:\WINNT\system32\drivers\asc3550u.sys инфицирован Trojan.Proxy.origin
C:\5.tmp инфицирован Trojan.Packed.147
Пролечил Dr.Web v4.44... (Удалил).. вроде все ОК... все работает, но... при подключении сетевого кабеля (локальная сеть) сразу перезагрузи системы. При выключении автоперезагрузки, машина вылетает в "Экран смерти"... сообщение: "KMODE_EXCEPTION_NOT_HANDLED". В журнале системы сообщение: Компьютер был перезагружен после критической ошибки: 0x0000001e (0xc0000005, 0x00000000, 0x00000000, 0x00000000).

Если есть дамп памяти, можете обратиться в Суппорт Доктора Веба.

Грешил на сетевую карту... поменял на другую, все так же перегружаемся. Попробовал воспользоваться утилитой WinsockFix, эффекта "0". Мне тут намекнули, что что-то с "сетевыми интерфейсами".... а как переустановить сетевые интерфейсы?
Подскажите хоть в какую сторону "копать" Что в системе не так и как подправить?
Заранее спасибо!

Какой антивирус установлен? Если Доктор Веб, попробуйте spiderml -remove, или более кардинально - запишите Ваши сетевые настройки и попробуйте выполнить netsh winsock reset (если у Вас ХР SP2).

[Dida]

Если есть дамп памяти, можете обратиться в Суппорт Доктора Веба.).

Угу.... в суппорт обращался После "изучения" дампа... тех поддержка снизошла до ответа, что Dr.Web в перезагрузках не виноват ... а кто б спорил..., но файлы-то "Удалял" Dr.Web Рекомендовали " переустановить сетевые интерфейсы"... но как это сделать умолчали.... Может кто подскажет?

Какой антивирус установлен? Если Доктор Веб, попробуйте spiderml -remove, или более кардинально - запишите Ваши сетевые настройки и попробуйте выполнить netsh winsock reset (если у Вас ХР SP2).

Как выполнить эти "кардинальные" меры на 2000-ке?
Dr.Web снес напрочь, перезагруз остался...
Стоит win2000? b , и был Dr.Web 4.44

[Shu_b]

У данного ресурса есть правила - http://virusinfo.info/showthread.php?t=1235 , после выполнения которых оказывается помощь. Гадания на кофейной гуще, взгляды сквозь сумрак и.т.д. редко приносят положительный эффект.

[borka]

Угу.... в суппорт обращался

Есть предложение продолжить обсуждение на форуме Dr.Web.

[Dida]

У данного ресурса есть правила....

Сори... Не думал, что по моей проблеме это так критично. Исправился. Логии закачал.
Заранее спасибо.

[PavelA]

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
 QuarantineFile('Nljs57.sys','');
 BC_QrSvc('Nljs57');
 BC_DeleteFile('C:\WINNT\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин. Надеюсь модераторы перенесут тему в нужный раздел. Сверху будет тогда ссылка для закачки.

Мне кажется, что здесь далеко не все удалено Доктором.

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\System32\Drivers\Nljs57.sys','');
 DeleteFile('C:\WINNT\System32\Drivers\Nljs57.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

IMHO проблема должна решиться.
Карантин пришлите согласно приложению 3 правил.
Сделайте новые логи для контроля.

[Dida]

PavelA, Bratez спасибо за ценные советы!
Выполнив ваши рекомендации... проблема разрешена! Сеть заработала. Новые логии и вирус закачал на форум.
Еще разок, огромное спасибо за квалифицированную и оперативную помощь!!!

ЗЫ. Странно... то что AVZ скинул в карантин, теперь определяется DrWeb 4.44 как avz00001.dta - инфицирован Trojan.NtRootKit.414 но, правда, как только появилась сеть я обновил базы.

[Shu_b]

карантин нужно загружать согласно приложения 3 правил!

Код:

 Scan taken on 16 Oct 2007 10:06:18 (GMT)
A-Squared 	Found nothing
AntiVir 	Found TR/Rootkit.Gen
ArcaVir 	Found nothing
Avast 	Found Win32:Agent-MET
AVG Antivirus 	Found BackDoor.Generic8.UKX
BitDefender 	Found Trojan.Srizbi.V
ClamAV 	Found nothing
CPsecure 	Found nothing
Dr.Web 	Found Trojan.NtRootKit.414
F-Prot Antivirus 	Found nothing
F-Secure Anti-Virus 	Found Rootkit.Win32.Agent.kb
Fortinet 	Found W32/Agent.KB!tr.rkit
Kaspersky Anti-Virus 	Found Rootkit.Win32.Agent.kb
NOD32 	Found Win32/Rootkit.Agent.HU
Norman Virus Control 	Found nothing
Panda Antivirus 	Found Trj/Downloader.MDW
Rising Antivirus 	Found nothing
Sophos Antivirus 	Found nothing
VirusBuster 	Found nothing
VBA32 	Found Rootkit.Win32.Agent.kb

[Dida]

Да вроде так и делал... единственное, что архивировал уже на Flash-ке уже на другой машине. Исправил и перезалил.

[PavelA]

ЗЫ. Странно... то что AVZ скинул в карантин, теперь определяется DrWeb 4.44 как avz00001.dta - инфицирован Trojan.NtRootKit.414 но, правда, как только появилась сеть я обновил базы.

Логи надо было сюда, а карантин по ссылке.