Последствия File Downloader (siszyd32.exe)

[ARray]

С вашей помощью излечился от File Downloader. Хэлпер написал, что всё чисто.
Каким-то образом снова словил этот вирус. Табличка с требованием послать смс не появилась, но файл siszyd32.exe появился в автозагрузке.

При помощи утилиты из get2.zip и скрипта из своей предыдущей темы снова удалил этот вирус.

Но теперь перестала корректно работать сеть (IP-адреса пингуются, а доменные имена не резолвятся, не запускается служба WorkStation).
То видно, то не видно журнал событий в виндоусе.

Логи прилагаю.

[ARray]

Также не стартуется служба Фаерволла.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('C:\WINDOWS\System32\drivers\afd.sys','');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

[ARray]

выслал.

[PavelA]

Trojan.Winlock.569 сидит в нем по Доктору Вебу.

Заменять надо этот файл с дистрибутива.

[ARray]

Из каталога C:\WINDOWS\System32\drivers\
на вирустотал выслал 3 файла:
mrxsmb.sys: 5/41 http://www.virustotal.com/ru/analisi...295-1261464017
sxcem.sys: 3/41 http://www.virustotal.com/ru/analisi...da6-1261460741
uzm1odyx.sys: 0/40 http://www.virustotal.com/analisis/b...a39-1261270434

[PavelA]

uzm1odyx.sys - это наше, проверять не стоит.

[ARray]

В каталоге C:\WINDOWS\System32\drivers\
Заменил файлы mrxsmb.sys, afd.sys. Сеть поднялась.
Удалил sxcem.sys

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\drivers\afd.sys - Rootkit.Win32.Agent.aaey ( DrWEB: Trojan.Winlock.569, NOD32: Win32/Rootkit.Agent.NSF trojan )