вирус

Обращаюсь к вам за помощью, какой-то тяжелый случай.

Симптомы:

1. Не запускается ни один из антивирусов, avz, hjack сообщения об ошибках не выдаются. Удается запустить только переименованные.

2. В netstat при загруженной системе повышенная активность связи с смтп серверами, предполагается рассылка спама.

3. Cure it обнаружил и удалил следующие тела вирусов: Trojan.Download.29459
Trojan.Botnetlog.3
BackDoor.IRC.Nite.18
Trojan.Proxy.3363
Trojan.Botnetlog.1
Dialer.Btweb
Trojan.KillDisk.303
Trojan.Download.33838

После этого сетевая активность по рассылке спама продолжается антивирусы не запускаются.

Mcafee rootkit detective, обнаруживает один файл с русским именем .doc - при попытке сделать "rename" - система перестает грузится - BSOD, и грузится только last known configuration.

Заранее благодарен за помощь,
Игорь

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O20 - Winlogon Notify: crypt- - crypts.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
BC_ImportALL;
BC_DeleteSvc('fd17');
BC_DeleteSvc('f7aA');
BC_DeleteSvc('9ed6');
BC_DeleteSvc('80bB');
BC_DeleteSvc('15c5');
BC_DeleteSvc('0429');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=49471[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Карантин отправлен:
Файл сохранён как 090707_152510_virus_4a53309680d9c.zip

Вот новые логи.

NDIS.sys - [B]Virus.Win32.Protector.a[/B]
Обновляйте Касперского, он должен это вылечить.

В остальном порядок.

Касперский запустился, но не может активировать сетевой экран.

Базы обновил, но он все равно не находит в ndis.sys вируса. Cureit тоже. И avp removal тоже.

Может быть поможет winsockfix? Его безопасно использовать на xp sp3?

Да, рассылка спама продолжается...

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 15 минут[/I][/B][/color][/size]

Вирус побежден перезаписью ndis.sys, загрузившись с live cd.

Winsockfix, ndis repair не помогают.

Спасибо!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\ndis.sys - [B]Virus.Win32.Protector.a[/B] ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )[/LIST][/LIST]