mft.exe 'Trojan.Win32.Agent.dtpi' убил Касперского 6 WS и сломал службу Сетевое подключение.

[Lqaz]

Добрый день. Этот е текст с картинками постараюсь выложить в Вордовском файле.

Вот такая история-
Установлен Касперский 6.0.4.1424 для рабочих станций.
Похоже что началось вот с этого.-
22.04.2010 8:00:28 файл C:\WINDOWS\system32\odbm.dll, обнаружено: троянская программа 'Trojan-Spy.Win32.Agent.bfax'.
22.04.2010 8:00:28 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
22.04.2010 8:00:39 файл C:\WINDOWS\system32\odbm.dll будет удален при перезагрузке компьютера.
22.04.2010 8:18:25 Процесс C:\Documents and Settings\Администратор\Recent\proxyreg.exe (PID: 3692): подозрительное действие. Процесс пытается изменить состав модулей, загружаемых при старте компьютера (ключ: HKEY_USERS\S-1-5-21-1417001333-162531612-839522115-500\Software\Microsoft\Windows\CurrentVersion\RunO nce, значение: IMSCMig8, данные: C:\Documents and Settings\Администратор\Recent\proxyreg.exe).
Потом появилось вот это-
22.04.2010 8:48:35 Вредоносный HTTP-объект <http://206.126.19.5/aspnet_client/system_web/1_1_4322/mft.exe>: обнаружено: троянская программа 'Trojan.Win32.Agent.dtpi'.
И фиксировалось достаточно долго.
На следующий день после включения компьютера уже не работал файловый антивирус.
23.04.2010 9:41:29 Сбой в задаче Файловый Антивирус: код ошибки 800001C4
23.04.2010 9:41:32 Защита вашего компьютера работает.
23.04.2010 10:10:30 Вредоносный HTTP-объект <http://206.126.19.5/aspnet_client/system_web/1_1_4322/mft.exe>: обнаружено: троянская программа 'Trojan.Win32.Agent.dtpi'.
23.04.2010 10:10:30 Вредоносный HTTP-объект <http://206.126.19.5/aspnet_client/system_web/1_1_4322/mft.exe>: доступ заблокирован.
23.04.2010 10:40:33 Вредоносный HTTP-объект <http://206.126.19.5/aspnet_client/system_web/1_1_4322/mft.exe>: обнаружено: троянская программа 'Trojan.Win32.Agent.dtpi'.
И так далее.
После этого обнаружился-
23.04.2010 12:21:28 файл C:\Temp\mft.exe, обнаружено: троянская программа 'Trojan.Win32.Agent.dtpi'.
23.04.2010 12:21:31 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
Касперский затребовал особое лечение.
И выполнил его.
23.04.2010 13:35:12 файл C:\Temp\mft.exe, обнаружено: троянская программа 'Trojan.Win32.Agent.dtpi'.
23.04.2010 13:35:28 файл C:\Temp\mft.exe удален.
23.04.2010 13:36:41 Защита вашего компьютера отключена в результате завершения работы компьютера.
23.04.2010 13:38:31 Защита вашего компьютера работает.
23.04.2010 13:38:36 Процесс C:\Documents and Settings\Администратор\Recent\proxyreg.exe (PID: 2572): подозрительное действие. Процесс пытается изменить состав модулей, загружаемых при старте компьютера (ключ: HKEY_USERS\S-1-5-21-1417001333-162531612-839522115-500\Software\Microsoft\Windows\CurrentVersion\RunO nce, значение: IMSCMig8, данные: C:\Documents and Settings\Администратор\Recent\proxyreg.exe).
23.04.2010 13:38:36 Процесс C:\Documents and Settings\Администратор\Recent\proxyreg.exe (PID: 2572): попытка изменить состав модулей, загружаемых при старте компьютера (ключ: HKEY_USERS\S-1-5-21-1417001333-162531612-839522115-500\Software\Microsoft\Windows\CurrentVersion\RunO nce, значение: IMSCMig8, данные: C:\Documents and Settings\Администратор\Recent\proxyreg.exe) разрешена.
23.04.2010 13:39:40 Сбой в задаче Файловый Антивирус: код ошибки 800001C4
23.04.2010 13:40:23 Сбой в задаче Файловый Антивирус: не удалось создать задачу

В итоге получили-
1. Файловый антивирус не запускается.
Ошибка 800001C4 (на сайте Касперского не нашел)
1. Как рассказал юзер, выскакивало окошко «Защита файлов Windows» с сообщением, что некоторые файлы были заменены неизвестными версиями и требовало установочный диск.
2. В Сетевом окружении нет значка сетевого соединения. И при попытке зайти в Сетевое окружение ПК подтормаживает на пару минут. Но Интернет и сеть работает.
3. Далее обнаружилось следующее- Не запускается служба Сетевые подключения.
Ошибка номер 2. Не найден файл.
Удалил сетевую карту. Перегрузился. Windows обнаружил сетевуху и установил драйвера. Значки не появились.
1. Хоть по логам C:\temp\mft.exe и был якобы удален, но в C:\Temp он находился.
Убил руками.
2. Отключил в автозагрузке C:\Documents and Settings\Администратор\Recent\proxyreg.exe
3. Был изменен вход в систему (стал типа как у Win2K). Выяснилось что присутствует библиотека gina.dll
Убил ее в реестре и сам файл.
1. AVZ нашла в папке Fonts файлик yotz.exe . Убил его

2. В просмотрах событий Kaspersky Event Log есть такие ошибки

Тип события: Ошибка
Источник события: klnagent
Категория события: Отсутствует
Код события: 1
Дата: 23.04.2010
Время: 16:37:00
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: OFFICE3
Описание:
Не удалось загрузить модуль интеграции C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avpcon.dll для программы . Произошла ошибка 1181 'System error 0x7E (Не найден указанный модуль.)'.

#1181 (126) System error 0x7E (Не найден указанный модуль.)


Хотя такая библиотека на самом деле есть.

3. Установил лечащую утилиту Касперского. Запустил ее из под защищенного режима.
Все чисто.

4. Прикладываю логии AVZ сразу после удаления mft.exe и на следующий день.
5. После обновления до SP3 служба Сетевые подключения по прежнему не запускается.
Команды
regsvr32 netshel.dll
regsvr32 netcfgx.dll
regsvr32 netman.dll
проходят успешно, но не помогают.
6. Выполнение команды sfc /purgecache выдает результат
«Защита файлов Windows успешно выполнила запрошенные изменения»
Команда sfc /scannow ошибок не нашла.

7. Удалил саму программу Антивируса Касперского. Агент Администрирования не удалял.
8. Еще раз переустановил SP3.
Не помогло.
Сетевые подключения не запускается.

Удаленный вызов процедур, Система событий COM+, Диспетчер подключений удаленного доступа, Телефония – эти службы запущены.
9. Установил IE8 и сборник критических обновлений после SP3 (обычная процедура ручного обновления ПК до SP3 и далее).
После перезагрузки ПК получил окно «Защита файлов Windows»
Вставил диск с WinXPSP3, нажал ОК. CD-ROM пошуршал и заглох.
Ничего не произошло. Перегрузил ПК снова.
Но Сетевые подключения по прежнему не запускается служба…….
10. HijackThis.exe запустился с двумя ошибками. Лог прикладываю.

Дальше руки опустились. Что делать - не знаю.

[PavelA]

Начнем вот с этого:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Fonts\yotz.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('c:\windows\system32\x6to4z.dll','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\Fonts\yotz.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

карантин пришлите по Правилам.
Логи повторите после перезагрузки.

Не пользуйтесь форматированием сообщений. Вас тяжело читать.

[Lqaz]

Карантин есть, который создавался при выполнении AVZ после лечения и на следующий день.
Т.е. два раза папку сохранил.
Может их прислать?
Т.к. до работы только завтра доберусь.

Форматирование получилось видимо из-за вставки сюда текста из Ворда.
На работе писал этот текст.

[thyrex]

Пришлите карантин после выполнения скрипта Павла

[Lqaz]

Высылаю карантин и логи.
Похоже что sdra64.exe там не было. yotz.exe я уже до этого прибил.
Попалась только библиотека.
При запуске ПК выскакивает окно защиты ПО с требованием вставить диск.
Сегодня диск не брал к сожалению, но вчерашний опыт показал, что это не помогает.
sfc/ scannow так ничего и не находит.
Служба Сетевые подключени не запускается.

[PavelA]

c:\windows\system32\x6to4z.dll -чистый.

[Lqaz]

Это хорошо.
Но что-же тогда ЭТО все было?
Написал на форуме Касперского. Прислали скрипт практически идентичный, только без библиотеки.
Ответа пока от них нет.
Но интересно, что такого вируса Trojan.Win32.Agent.dtpi я нигде в инете не нашел описание.

Никак не могу запустить службу Сетевые подключения.
Ошибка прежня. Она с картинками в файле "Описание действий.rar", вложен в первый пост.

Может что-то подскажите? Или уже склоняюсь к восстановлению системы из образа....

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены