ntos.exe и его последствия

[VladVictim]

Здравствуйте! Больной комп не подключается к инету и видимо до сих пор заражен какой-то гадостью. Выхожу на связь с Вами с чистого компа. Теперь о больном. После недавней проверки Авастом обнаружилось несколько вирусов: ntos.exe (определился как Rootkit), Agent-VGV,Agent-USI и еще что-то. Аваст с горем пополам уничтожил все, кроме ntos. после каждого включения создавались в темпе файлы BN2.tmp,BN3.tmp,BN4.tmp и т.д. С помощью CIA Commander вытер ntos.exe из папки system32. Темп-файлы BN ужу не появлялись, но отключился интернет. А точнее, IP-адрес, маска подсети, основной шлюз... все это прописано, уведомление показывает, что все подключено, скорость 10.0 Мбит\с, а обмен пакетами - 0 и 0. Реально связи нет. Команда "netstat -an" показывает какой-то левый внешний адрес 208.66.195.15:80 Старался все выполнять по "Правилам". Высылаю логи. Помогите! (Дело еще в том, что переставлять систему КРАЙНЕ не желательно)

[wise-wistful]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('_.exe','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Dim38.sys');
 DeleteFile('_.exe');
 DeleteFile('WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Dim38');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22075

2.Пофиксить в HijackThis следующие строчки? если будут ( http://virusinfo.info/showthread.php?t=4491 )

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,_,

Повторите логи.

[VladVictim]

Следовал Вашим рекомендациям. Выполнил скрипт. А вот профиксить в HijackThis нечего. строчка F2 отсутствует. Скрипт в AVZ выполнял два раза. В первый раз забыл отключить сканер Аваста. В процессе выполнения скрипта Аваст выловил нечто по имени vdy4njqz.sys . Команда "netstat -an" показывает теперь уже чуть другой внешний адрес 208.66.195.71:80, после перезагрузки: 208.66.194.232:80. Меняются цифры перед двоеточием. Подозреваю что это не есть нормально. Отправиляю Вам AVZ карантин. С интернетом все по прежнему. Все установки прописаны, связи нет. Высылаю новые логи. (Может быть я что-то не так делаю?)

[PavelA]

Новый зверь - WinNt32.dll. Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Rwb72', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\Rwb72.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Rwb72.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин. Сделать новые логи.

Если вдруг не будет загружаться, то использовать посл. успешную кофигурацию

[VladVictim]

Выполнил. Карантин прислал. Прикрепляю логи. Меняющийся внешний адрес пропал. Но связи нет по прежнему. Сетевую карточку переставлял. Протокол TCP/IP проверил. Соседние компьютеры (с этого же краба) работают нормально. Что делать? Руки опускаются...

[Bratez]

Все в логах хорошо, осталось пофиксить в HijackThis:

Код:

O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\

Попробуйте эту программку:
http://www.tksinc.us/downloads/WinsockXPFix.exe
(запустить и нажать Fix; после перезагрузки заново ввести настройки сетевых подключений).

[VladVictim]

Профиксил две строчки. Запустил WinsockXPFix. Соединение переустановил. Прописал протокол. Видимо, тяжелый случай. Связи нет. Может я чего-то не понимаю? ("сложно вырезать гланды по телефону" - это я понимаю...)

[V_Bond]

Связи нет.

это как ? нет соединения или нет интернета ?
ping 127.0.0.1 что пишет ?

[PavelA]

После еще ping 213.141.192.71

Это все выполняется в режиме командной строки (Пуск - Выполнить - cmd)

[VladVictim]

Профиксил две строчки, запустил WinsockXPFix. Переустановил протокол. Все по прежнему. т.е. связи нет. Пропинговал "по адресу замыкания на себя" - прошло четыре пакета, все в порядке. Пропинговал по IP-компьютера - 4 пакета, все в порядке. Пропинговка IP-адреса основного шлюза дает превышение времени ожидания (сигнал не проходит). Ради эксперимента повторил всю операцию с WinsockXPFix на здоровом компе. Проставил протокол - все работает. Наверное, я чего-то не понимаю...

[Bratez]

Может у вас просто хаб (или роутер) завис? Бывает с ними такое. Передерните ему питание.

[VladVictim]

ВСЕ! Проблема снята. Причина была в сетевой карте, а точнее в некорректном драйвере, который WinXP ставил автоматически. ВСЕМ огромное спасибо за помощь. Вирусов нет. Чем я могу Вас отблагодарить?

[wise-wistful]

Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.DownLoader.59496)