DrWeb CureIt - backdoor.bulknet.507

[s76]

Доброго времени суток

Система Windows XP SP3. Перестала работать сеть, причем даже не определялось подключен сетевой кабель или нет - всегда был не подключен. Был установлен Eset Smart Security. В диспетчере устройств минипорты Eset отображались с желтыми восклицательными знаками - устройство не может стартовать. Через установку/удаление программ ESS не удалялся ссылаясь на ошибку удаления драйверов в процессе удаления. С сайта Eset была скачана специальная альтернативная утилита удаления ESS в безопасном режиме и применена с соблюдением приводимой на сайте инструкции. В процессе работы утилиты были удалены данные из реестра касающиеся ESS, но и эта альтернативная утилита выдала ругательства по поводу удаления непосредственно с диска файлов касающихся ESS (C:\WINDOWS\system32\drivers\epfwndis.sys и еще нескольких), причем после её работы при попытке вручную удалить/скопировать/открыть FAR'ом эти файлы в нормальном режиме - доступ запрещен, ошибка удаления/копирования/открытия и в свойствах файла вкладка "Безопасность" отсутствует (у рядом располагающихся файлов эта фкладка присутствует, выполнялся chkdsk c: /f - всё осталось также без изменений). После этого при загрузке в обычном режиме сеть заработала. Была проведена проверка DrWeb CureIt. В результате проверки CureIt обнаружил что C:\WINDOWS\system32\drivers\NDIS.SYS инфицирован backdoor.bulknet.507 - будет излечен после перезагрузки. При проведении повторной проверки CureIt после перезагрузки - снова инфицирован NDIS.SYS.
Логи прилагаю. Помогите с лечением - очень не хочется переустанавливать систему.

[Никита Соловьев]

- Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 BC_QrFile('C:\WINDOWS\system32\Drivers\NDIS.sys');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

- Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

[s76]

Карантин:

Файл сохранён как 100924_095609_quarantine_4c9c3d791cf57.zip
Размер файла 145195
MD5 d3a9f7b06705cdd855e708772f2bc03c

[Никита Соловьев]

NDIS.sys - Virus.Win32.Protector.f
---------------------------------------------------------------

Файл NDIS.sys замените чистым из дистрибутива (как это сделать?)

Сделайте новые логи

[s76]

NDIS.SYS заменил на оригинальный из консоли восстановления. Похоже что всё поправилось. Остатки Eset Smart Security удалились успешно и DrWeb CureIt заражений больше не находит.
Логи прилагаю

[Никита Соловьев]

пофиксите в hijackthis:

Код:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

В логах чисто.

[s76]

Пофиксил. Спасибо большое. Лечение успешно.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )