вирус

**thalion** · 07.07.2009, 14:37

Обращаюсь к вам за помощью, какой-то тяжелый случай.

Симптомы:

1. Не запускается ни один из антивирусов, avz, hjack сообщения об ошибках не выдаются. Удается запустить только переименованные.

2. В netstat при загруженной системе повышенная активность связи с смтп серверами, предполагается рассылка спама.

3. Cure it обнаружил и удалил следующие тела вирусов: Trojan.Download.29459
Trojan.Botnetlog.3
BackDoor.IRC.Nite.18
Trojan.Proxy.3363
Trojan.Botnetlog.1
Dialer.Btweb
Trojan.KillDisk.303
Trojan.Download.33838

После этого сетевая активность по рассылке спама продолжается антивирусы не запускаются.

Mcafee rootkit detective, обнаруживает один файл с русским именем .doc - при попытке сделать "rename" - система перестает грузится - BSOD, и грузится только last known configuration.

Заранее благодарен за помощь,
Игорь

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 07.07.2009, 15:02

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O20 - Winlogon Notify: crypt- - crypts.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
BC_ImportALL;
 BC_DeleteSvc('fd17');
 BC_DeleteSvc('f7aA');
 BC_DeleteSvc('9ed6');
 BC_DeleteSvc('80bB');
 BC_DeleteSvc('15c5');
 BC_DeleteSvc('0429');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=49471).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**thalion** · 07.07.2009, 15:28

Карантин отправлен:
Файл сохранён как 090707_152510_virus_4a53309680d9c.zip

Вот новые логи.

**Bratez** · 07.07.2009, 15:58

NDIS.sys - Virus.Win32.Protector.a
Обновляйте Касперского, он должен это вылечить.

В остальном порядок.

**thalion** · 07.07.2009, 20:12

Касперский запустился, но не может активировать сетевой экран.

Базы обновил, но он все равно не находит в ndis.sys вируса. Cureit тоже. И avp removal тоже.

Может быть поможет winsockfix? Его безопасно использовать на xp sp3?

Да, рассылка спама продолжается...

Добавлено через 3 часа 15 минут

Вирус побежден перезаписью ndis.sys, загрузившись с live cd.

Winsockfix, ndis repair не помогают.

Спасибо!

**CyberHelper** · 08.07.2009, 20:12

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.a ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )

вирус (заявка № 49471)

Опции темы

вирус

Итог лечения

Ваши права в разделе