Не могу избавиться отWin32/Rootkit.Agent.NDF(DP)

[dmpog]

Здравствуйте!
Очень прошу вас помочь мне похожей как у EL Lobo проблеме, решённой сегодня. Суть моей:
Обновлённый неделю назад NOD32 каждый раз при перезагрузке системы находит и удаляет троянов Win32/Rootkit.Agent.DP (файл
С:\Windows\Sistem32\drivers\ip6fw.sys) и Win32/Rootkit.Agent.NDF (файл С:\Windows\Sistem32\drivers\runtime.sys). Проявляются они то оба,то по одиночке. Иногда находится какой-то зловредный ключ из реестра. Вирусы проявляются то по одному,то вместе. После их появления компьютер стал жутко тормозить. Диспетчер задач показал, что систему грузит на 99% установленный, но не запущенный ни мной ни атозагрузкой QuickTimeTSK. После удаления QuickTimeTSK тормоза вроде бы пропали. Кроме того файрвол Oupost3 предупреждает, что скрытый процесс запрашивает исходящее соединение (процесс:iexplore.exe;запущен:c:\Windows\TEMP\STAR TDRV.EXE).
После блокировки файрволом - процесс пытается стучаться по разным портам без остановки.
Думаю,что в одиночку мне не справиться с проблемой.
Буду очень благодарен за помощь.

[Bratez]

Пофиксите в HijackThis:

Код:

O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)
O16 - DPF: Win32 Classes - 
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\winstart.bat','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\ip6fw.sys','');
 QuarantineFile('C:\Documents and Settings\Дмитрий\Local Settings\Temp\302965.exe','');
 QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\winstart.bat');
BC_ImportDeletedList;
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин согласно приложению 3 правил.

Добавлено через 8 минут

Скачайте программу WinSockxpFix:
http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
но пока не запускайте.

[dmpog]

Добрый вечер! Извините,что немного задержался с ответом.
Выполнил ваше руководство, отслал карантин, скачал WinSockxpFix
(не запускал).
После перезагрузок системы NOD32 опять находит C:\WINDOWS\SYSTEM32\DRIVERS\ip6fw.sys - Win32/Rootkit.Agent.DP троян. Хотя сетевая активность изменилась.
Outpost показывает слабые попытки связи через netbios при отключенном соединении.
Высылаю вам новые логи для объективной информации.

[Bratez]

Стало немного почище

В карантине:
302965.exe - Rootkit.Win32.Agent.ey
rsvp32_2.dll - Trojan.Win32.Agent.axo

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - Winlogon Notify: bnreg - C:\WINDOWS\

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Дмитрий\Local Settings\Temp\302965.exe');
 DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
 DelSPIByFileName('rsvp32_2.dll',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки еще один:

Код:

begin
ExecuteRepair(14);
RebootWindows(true);
end.

После этого, если пропадет связь с локалкой и/или интернетом, воспользуйтесь скачанной программой (запустить, нажать Fix), только предварительно запишите настройки сетевых подключений, т.к. она их сбрасывает.

Поищите с помощью AVZ (Сервис - Поиск файлов на диске) эти файлы:
walign.exe
setupx.dll
Если найдутся - пришлите по правилам.

[dmpog]

Состояние намного улучшилось!
После выполнения процедур, запуска WinSockxpFix, искал walign.exe , setupx.dll. Файлы не нашлись. Проверил диски обновлённым NODом и AVZ. Руткитов не обнаружил.
Прошу вас проверить прикреплённые логи для контроля.

[Bratez]

В логах практически чисто.

1. Удалите задание в Планировщике (Панель управления - Назначенные задания).
2. В AVZ откройте Менеджер ActiveSetup и удалите строчку с упоминанием setupx.dll.
3. Проверим на всякий случай еще пару файлов. Выполните скрипт:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\PROGRA~1\TOPSUR~1\twsband.dll','');
 QuarantineFile('D:\Оля\OMS\ShlExt.dll','');
end.

и пришлите карантин по правилам.

4. Посмотрите, что нужно / не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Лишнее отключим.

[dmpog]

Карантин после выполнения процедур выслан. Интересно, что там обнаружилось.Отключил ненужные службы. Деятельности троянов не видно.
Я очень благодарен вам за профессиональную помощь.

[Bratez]

По рзультатам проверки на virustotal:

ShlExt.dll - чистый

twsband.dll обругали два антивируса

ClamAV 0.91.2 2007.10.25 Adware.BHO-26
DrWeb 4.44.0.09170 2007.10.25 Trojan.StartPage.origin

Отправил файл в ЛК, но думаю и так ясно, что ничего хорошего.
Если в Установка/удаление программ есть что-то вроде TopSurfer Toolbar, удалите его обычным образом. Если нет - предлагаю удалить его таким скриптом:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\PROGRA~1\TOPSUR~1\twsband.dll');
 BC_DeleteFile('C:\PROGRA~1\TOPSUR~1\twsband.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и пофиксить в HijackThis:

Код:

O3 - Toolbar: &TopSurfer - {AF657644-964C-4348-A8AD-72524B3A3FF1} - C:\PROGRA~1\TOPSUR~1\twsband.dll

[dmpog]

Я грешным делом подумал,что злыдней всех вывели.
Спасибо, что не оставляете в беде. NODом пользуюсь уже несколько лет. Видать не справляется иноземец.
Сделал всё,что вы рекомендовали. Прикрепляю логи для контроля.

[Bratez]

Ну вот теперь чисто!

Для пущей стерильности эти две службы в "отключено" поставьте:

Код:

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

и мы вас выписываем .

Если что - заходите еще.

[dmpog]

Ещё раз хочу поблагодарить вас за оказанную помощь .