NOD32 ругается на ws2_32.dll (модифицированный Win32/Patched.P)

[Smile286]

Здравствуйте!
Хочу поделиться своей проблемой и надеюсь на Вашу помощь в ее решении.
Некоторое время назад NOD32 начал ругаться на ws2_32.dll, мол содержит "модифицированный Win32/Patched.P". Лечение данного файла невоможно (опция в антивирусе неактивна). Его удаление приводит к неработоспособности системы (попробовал, восстановил копию из dllcache). Какой-либо вирусной активности не заметил, трафик не убегает, подозрительного ничего в системе практически не происходит (Не очень понятно, почему некоторые порты LISTENING при закрытых процессах, но это может мое непонимание...), но сообщение каждый день вылезает и ничего не помогает.

Еще происходит некоторая странность с Интернет-браузерами и программами, испольующие их движки (WebMoney, например): Opera периодически закрывается с причиной: "Ошибка приложения opera.exe, версия 9.50.10063.0, модуль ws2_32.dll, версия 5.1.2600.5503, адрес 0x00017883."; IE периодически закрывается с причиной: "Ошибка приложения iexplore.exe, версия 6.0.2900.5503, модуль urlmon.dll, версия 6.0.2900.5503, адрес 0x0003b840."

Необходимые логи прилагаются.
Просьба помочь в решение проблемы, спасибо!

P.S. fstarforce - для обхода старфорс защиты, уж извините:(

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O15 - Trusted Zone: *.combats.com
O15 - Trusted Zone: *.combats.ru
O15 - Trusted Zone: *.imageshack.us
O15 - Trusted Zone: *.scrolls.com
O15 - Trusted Zone: *.scrolls.ru

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\WS2_32.dll','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\npTVUAx.dll','');
 QuarantineFile('C:\Documents and Settings\Smile\Local Settings\Temp\iokinjm.dll','');
 QuarantineFile('C:\Downloads\keygens.rar','');
 DeleteFile('C:\Documents and Settings\Smile\Local Settings\Temp\iokinjm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Smile286]

Выполнено. Трастед зоны отключил, хотя там ничего вредоносного нет.
Да, в карантин прислал два файла: один файл virusinfo_cure.zip, из папки "LOG", второй - архив папки "Infected" после последней проверки (пароль на архив - virus).
Спасибо.

[Rene-gad]

iokinjm.dll - not-a-virus:AdWare.Win32.Reklosoft.p
WS2_32.dll - Trojan.Win32.Patched.di

Сделайте проверку на файловые вирусы, потом C:\WINDOWS\System32\WS2_32.dll - замените файлом из дистрибутива.
Перегрузитесь
Выполните скрипт

begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\WS2_32.dll','' );
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

и пришлите новый карантин по правилам.

[Smile286]

Спасибо.
Но к сожалению, нет дистрибьютива, нет DVD-ROM'ов, восстановить не откуда. (в dllcache тоже вирусная версия). Может быть, подскажите, где взять чистую версию ws2_32.dll версии 5.1.2600.5503 (XP SP3)?

Добавлено через 1 час 7 минут

Добавлю:
После проверки был обнаружен C:\WINDOWS\system32\kcsetu.dll - Win32/Spy.Agent.NLZ троянская программа, удален NOD32 в ходе проверки. Ну и зараженный ws2_32.dll в количестве трех экзмепляров: 1. %systemroot%\system32; 2. dllcache, 3. оперативная память.

[Rene-gad]

Держите в аттаче
Пароль: 12345

[Smile286]

Еще раз спасибо.

ws2_32.dll удаляться, перемещаться etc не захотел, пришлось резать под наркозом. (MSDOS) :-)
Заменил на присланный Вами файл, хотя он более новой версии, ну и хорошо.
NOD32 при проверке обнаружил только зараженный ws2_32.dll в dllcache. Как поступать с этим файлом?
Присылаю карантин. Судя по размеру - все в порядке.

Добавлено через 19 минут

Кстати, все ли в порядке с открытыми портами?

C:\Documents and Settings\Smile>netstat -a

Активные подключения

Имя Локальный адрес Внешний адрес Состояние
TCP trinitron:epmap trinitron:0 LISTENING
TCP trinitron:microsoft-ds trinitron:0 LISTENING
TCP trinitron:1025 trinitron:0 LISTENING
TCP trinitron:30606 trinitron:0 LISTENING
TCP trinitron:30606 localhost:1143 TIME_WAIT
TCP trinitron:netbios-ssn trinitron:0 LISTENING
UDP trinitron:microsoft-ds *:*
UDP trinitron:isakmp *:*
UDP trinitron:1028 *:*
UDP trinitron:4500 *:*
UDP trinitron:netbios-ns *:*
UDP trinitron:netbios-dgm *:*

[light59]

С портами в порядке. Этот файлик можете тоже заменить.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 27
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\smile\local settings\temp\iokinjm.dll - not-a-virus:AdWare.Win32.Reklosoft.p
  2. c:\windows\system32\ws2_32.dll - Trojan.Win32.Patched.di ( DrWEB: Trojan.Ws232Patcher.4 )