mft.exe 'Trojan.Win32.Agent.dtpi' убил Касперского 6 WS и сломал службу Сетевое подключение.

Добрый день. Этот е текст с картинками постараюсь выложить в Вордовском файле.

Вот такая история-
[FONT=Calibri][SIZE=3]Установлен Касперский 6.0.4.1424 для рабочих станций.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Похоже что началось вот с этого.-[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]22.04.2010 8:00:28 файл C:\WINDOWS\system32\odbm.dll, обнаружено: троянская программа 'Trojan-Spy.Win32.Agent.bfax'.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]22.04.2010 8:00:28 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]22.04.2010 8:00:39 файл C:\WINDOWS\system32\odbm.dll будет удален при перезагрузке компьютера.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]22.04.2010 8:18:25 Процесс C:\Documents and Settings\Администратор\Recent\proxyreg.exe (PID: 3692): подозрительное действие. Процесс пытается изменить состав модулей, загружаемых при старте компьютера (ключ: HKEY_USERS\S-1-5-21-1417001333-162531612-839522115-500\Software\Microsoft\Windows\CurrentVersion\RunOnce, значение: IMSCMig8, данные: C:\Documents and Settings\Администратор\Recent\proxyreg.exe).[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Потом появилось вот это-[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]22.04.2010 8:48:35 Вредоносный HTTP-объект <http://206.126.19.5/aspnet_client/system_web/1_1_4322/mft.exe>: обнаружено: троянская программа 'Trojan.Win32.Agent.dtpi'.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]И фиксировалось достаточно долго.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]На следующий день после включения компьютера уже не работал файловый антивирус.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 9:41:29 Сбой в задаче Файловый Антивирус: код ошибки 800001C4[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 9:41:32 Защита вашего компьютера работает.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 10:10:30 Вредоносный HTTP-объект <http://206.126.19.5/aspnet_client/system_web/1_1_4322/mft.exe>: обнаружено: троянская программа 'Trojan.Win32.Agent.dtpi'.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 10:10:30 Вредоносный HTTP-объект <http://206.126.19.5/aspnet_client/system_web/1_1_4322/mft.exe>: доступ заблокирован.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 10:40:33 Вредоносный HTTP-объект <http://206.126.19.5/aspnet_client/system_web/1_1_4322/mft.exe>: обнаружено: троянская программа 'Trojan.Win32.Agent.dtpi'.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]И так далее.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]После этого обнаружился-[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 12:21:28 файл C:\Temp\mft.exe, обнаружено: троянская программа 'Trojan.Win32.Agent.dtpi'.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 12:21:31 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Касперский затребовал особое лечение.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]И выполнил его.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 13:35:12 файл C:\Temp\mft.exe, обнаружено: троянская программа 'Trojan.Win32.Agent.dtpi'.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 13:35:28 файл C:\Temp\mft.exe удален.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 13:36:41 Защита вашего компьютера отключена в результате завершения работы компьютера.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 13:38:31 Защита вашего компьютера работает.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 13:38:36 Процесс C:\Documents and Settings\Администратор\Recent\proxyreg.exe (PID: 2572): подозрительное действие. Процесс пытается изменить состав модулей, загружаемых при старте компьютера (ключ: HKEY_USERS\S-1-5-21-1417001333-162531612-839522115-500\Software\Microsoft\Windows\CurrentVersion\RunOnce, значение: IMSCMig8, данные: C:\Documents and Settings\Администратор\Recent\proxyreg.exe).[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 13:38:36 Процесс C:\Documents and Settings\Администратор\Recent\proxyreg.exe (PID: 2572): попытка изменить состав модулей, загружаемых при старте компьютера (ключ: HKEY_USERS\S-1-5-21-1417001333-162531612-839522115-500\Software\Microsoft\Windows\CurrentVersion\RunOnce, значение: IMSCMig8, данные: C:\Documents and Settings\Администратор\Recent\proxyreg.exe) разрешена.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 13:39:40 Сбой в задаче Файловый Антивирус: код ошибки 800001C4[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]23.04.2010 13:40:23 Сбой в задаче Файловый Антивирус: не удалось создать задачу[/SIZE][/FONT]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][SIZE=3]В итоге получили-[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]1.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Файловый антивирус не запускается.[/SIZE][/FONT]
Ошибка 800001C4 (на сайте Касперского не нашел)
[FONT=Calibri][FONT=Calibri][SIZE=3]1.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Как рассказал юзер, выскакивало окошко «Защита файлов Windows» с сообщением, что некоторые файлы были заменены неизвестными версиями и требовало установочный диск.[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]2.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]В Сетевом окружении нет значка сетевого соединения. И при попытке зайти в Сетевое окружение ПК подтормаживает на пару минут. Но Интернет и сеть работает.[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]3.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Далее обнаружилось следующее- Не запускается служба Сетевые подключения.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Ошибка номер 2. Не найден файл.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Удалил сетевую карту. Перегрузился. Windows обнаружил сетевуху и установил драйвера. Значки не появились.[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]1.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Хоть по логам C:\temp\mft.exe и был якобы удален, но в C:\Temp он находился.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Убил руками.[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]2.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Отключил в автозагрузке C:\Documents and Settings\Администратор\Recent\proxyreg.exe[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]3.[/SIZE][/FONT] [/FONT][SIZE=3][FONT=Calibri]Был изменен вход в систему (стал типа как у Win2K). Выяснилось что присутствует библиотека gina.dll[/FONT][/SIZE]
[FONT=Calibri][SIZE=3]Убил ее в реестре и сам файл.[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]1.[/SIZE][/FONT] [/FONT][SIZE=3][FONT=Calibri]AVZ нашла в папке Fonts файлик yotz.exe . Убил его[/FONT][/SIZE]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]2.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]В просмотрах событий Kaspersky Event Log есть такие ошибки [/SIZE][/FONT]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Тип события: Ошибка[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Источник события: klnagent[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Категория события: Отсутствует[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Код события: 1[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Дата: 23.04.2010[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Время: 16:37:00[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Пользователь: NT AUTHORITY\SYSTEM[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Компьютер: OFFICE3[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Описание:[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Не удалось загрузить модуль интеграции C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avpcon.dll для программы . Произошла ошибка 1181 'System error 0x7E (Не найден указанный модуль.)'. [/SIZE][/FONT]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][SIZE=3]#1181 (126) System error 0x7E (Не найден указанный модуль.)[/SIZE][/FONT]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Хотя такая библиотека на самом деле есть.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]3.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Установил лечащую утилиту Касперского. Запустил ее из под защищенного режима.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Все чисто.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]4.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Прикладываю логии AVZ сразу после удаления mft.exe и на следующий день.[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]5.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]После обновления до SP3 служба Сетевые подключения по прежнему не запускается.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Команды[/SIZE][/FONT]
[SIZE=3][FONT=Calibri] regsvr32 netshel.dll[/FONT][/SIZE]
[SIZE=3][FONT=Calibri]regsvr32 netcfgx.dll[/FONT][/SIZE]
[SIZE=3][FONT=Calibri]regsvr32 netman.dll[/FONT][/SIZE]
[FONT=Calibri][SIZE=3]проходят успешно, но не помогают.[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]6.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Выполнение команды sfc /purgecache выдает результат[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]«Защита файлов Windows успешно выполнила запрошенные изменения»[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Команда sfc /scannow ошибок не нашла.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]7.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Удалил саму программу Антивируса Касперского. Агент Администрирования не удалял.[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]8.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Еще раз переустановил SP3. [/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Не помогло.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Сетевые подключения не запускается.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3] [/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Удаленный вызов процедур, Система событий COM+, Диспетчер подключений удаленного доступа, Телефония – эти службы запущены.[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]9.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]Установил IE8 и сборник критических обновлений после SP3 (обычная процедура ручного обновления ПК до SP3 и далее).[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]После перезагрузки ПК получил окно «Защита файлов Windows»[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Вставил диск с WinXPSP3, нажал ОК. CD-ROM пошуршал и заглох.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Ничего не произошло. Перегрузил ПК снова.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Но Сетевые подключения по прежнему не запускается служба…….[/SIZE][/FONT]
[FONT=Calibri][FONT=Calibri][SIZE=3]10.[/SIZE][/FONT] [/FONT][FONT=Calibri][SIZE=3]HijackThis.exe запустился с двумя ошибками. Лог прикладываю.[/SIZE][/FONT]

Дальше руки опустились. Что делать - не знаю.

Начнем вот с этого:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Fonts\yotz.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\x6to4z.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\Fonts\yotz.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
карантин пришлите по Правилам.
Логи повторите после перезагрузки.

Не пользуйтесь форматированием сообщений. Вас тяжело читать.

Карантин есть, который создавался при выполнении AVZ после лечения и на следующий день.
Т.е. два раза папку сохранил.
Может их прислать?
Т.к. до работы только завтра доберусь.

Форматирование получилось видимо из-за вставки сюда текста из Ворда.
На работе писал этот текст.

Пришлите карантин после выполнения скрипта Павла

Высылаю карантин и логи.
Похоже что sdra64.exe там не было. yotz.exe я уже до этого прибил.
Попалась только библиотека.
При запуске ПК выскакивает окно защиты ПО с требованием вставить диск.
Сегодня диск не брал к сожалению, но вчерашний опыт показал, что это не помогает.
sfc/ scannow так ничего и не находит.
Служба Сетевые подключени не запускается.

c:\windows\system32\x6to4z.dll -чистый.

Это хорошо.
Но что-же тогда ЭТО все было?
Написал на форуме Касперского. Прислали скрипт практически идентичный, только без библиотеки.
Ответа пока от них нет.
Но интересно, что такого вируса Trojan.Win32.Agent.dtpi я нигде в инете не нашел описание.

Никак не могу запустить службу Сетевые подключения.
Ошибка прежня. Она с картинками в файле "Описание действий.rar", вложен в первый пост.

Может что-то подскажите? Или уже склоняюсь к восстановлению системы из образа....

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]