Ndis.sys заражен Backdoor Bulknet 507

[Victor_D]

добрый день
проблема с вирусом

доктор WEB пишет - "будет исцелен после рестарта",
но не исцеляет.
ndis.sys C:\WINDOWS\system32\dllcache BackDoor.Bulknet.507
ndis.sys C:\WINDOWS\system32\drivers BackDoor.Bulknet.507

На форуме уже были сообщения на эту тему подскажите пожалуйста как избавиться от этого зверя.
Выполнил диагностику утилитами как в инструкции и прикрепляю файлы с логами.
Заранее благодарю за помощь.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('digeste.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\tcpsr.sys','');
 DeleteFile('digeste.dll');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Файл NDIS.sys замените чистым с дистрибутива.

[Victor_D]

Спасибо, Olejah , сейчас попробую все это прожелать.

Добавлено через 20 минут

Карантин отправил по ссылке.
после выполнения скрипта в AVZ комп повис пришлось в ручную запускать.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\Drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл NDIS.sys заменили?

[Victor_D]

Чего-то не получается заменить ndis.sys из дистрибутива. архивный ndis.sy_ не распаковывается в безопасном режиме.

[olejah]

Если это невозможно - то с любого Live CD (BartPE, Knoppix) либо в консоли восстановления (см. ниже).

А так?

[Victor_D]

Olejah, спасибо огромное за помощь, файл перезаписал с дистрибутива, скрипт запустил проверил Drweb все Ок. Спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
  2. c:\\windows\\system32\\drivers\\tcpsr.sys - Rootkit.Win32.Agent.bdwt ( DrWEB: Trojan.NtRootKit.9775, BitDefender: Rootkit.18103, NOD32: Win32/Rootkit.Agent.NKB trojan, AVAST4: Win32:Rootkit-CX [Trj] )