Ndis.sys и вирусы

[IIM]

Здравствуйте!
У меня компьютер заболел чем-то похожим на описанное тут:
http://virusinfo.info/showthread.php?t=9945
На С:\ создался файл cd1041.nls, а после следующих перезагрузок и другие cd****.nls. Файл c:\windows\system32\ndis.sys оказался новым, измененным и большим. Попробовал сделать, как описано в указанной выше ветке форума. Не помогло: hijackthis не показывал такой строчки про services.exe, как было там. А файл ndis.sys не удалялся - он САМ восстанавливался с новой датой изменения и еще большим размером (хотя восстановление системы отключено).
Файрвол говорит, что проводник explorer.exe пытается вылезать в интернет, но файл проводника неизмененнный. И что файл c:\windows\system32\koos.exe некий появился и тоже куда-то лазит, но его удаление ничего не дало.
Сделал все требуемые логи (это заняло 3 часа).
ПОмогите, пожалуйста! Уже не знаю, что и делать ещё. Наверное, тут еще и следы прошлых недолеченных гадостей остались, что ли.

[drongo]

начните выполнять правила точно, тогда займёт 20 минут
Скачать последнею версию AVZ и отключить все проги в трее включая старый никому не нужный симантек antivirus.

[PavelA]

На всякий случай написал скрипт по старым логам.
Запустите AVZ и выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\d.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\System32\systkw.dll','');
 QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
 QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
 QuarantineFile('\??\C:\fwdrv.sys','');
 QuarantineFile('NDIS.sys','');
 DeleteFile('c:\*.nls');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\csrss.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
BC_Activate;
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил .

2. Скачайте утилиту восстановления ndis.sys: Вложение 10580

3. Перезагрузитесь в безопасный режим, запустите утилиту и нажмите кнопку Patch.

4. После перезагрузки сделайте новые логи AVZ и HijackThis .

[AndreyKa]

Установите на Windows Service Pack 2.

[IIM]

Спасибо.
Извините, я, наверное, чего-то недопонимаю, но я скачал новый AVZ, обновил его, отключил полностью и совсем все-все программы и стал заново делать стандартный скрипт - через полчаса он мне стал показывать снова, что осталось еще 50 минут. Может, с этим все-таки что-то не так?
Поэтому стал делать, как написал PavelA.
Карантин загрузил.
Утилиту запустил.
В п. 4 PavelA не написал собственно скрипт, который надо выполнить. Напишите, пожалуйста!
Сейчас буду пробовать снова сделать логи, просто боюсь, что это может опять затянуться.
И глупый вопрос: что значит "установите на Windows Service pack 2" - и когда это делать?

[drongo]

речь шла об этом скрипте :

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\d.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\System32\systkw.dll','');
 QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
 QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
 QuarantineFile('\??\C:\fwdrv.sys','');
 QuarantineFile('NDIS.sys','');
 DeleteFile('c:\*.nls');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\csrss.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
BC_Activate;
end.

http://www.microsoft.com/rus/windowsxp/sp2/default.mspx - sp2
когда - чем быстрее тем лучше для вас однако, я бы рекомендовал полностью снести систему и поставить уже XP с интегрированным SP2 во избежания лишних багов.

[IIM]

Спасибо, про Windows SP2 понял. Поставить по ссылке - поставлю. К сожалению, для переустановки винды сейчас не лучший момент.
В сообщении PavelA изначально было в пункте 4 опять запустить некий скрипт, а сейчас уже этого нет. Значит, после скрипта и утилиты - уже должно что-то улучшиться? У меня после этого ndis.sys обновился, стал опять небольшого размера (типа 170 кб), но файрвол фиксировал, что проводник по-прежнему пытается куда-то залезть.
Сейчас пишу с другого компа. Старый - выполняет стандартный скрипт AVZ, и опять та же история: 50 минут уже прошло, и он пишет, что осталось 1ч.40мин. Не знаю, что я теперь неправильно делаю: все обновил, все программы отключил...
А что-то про карантин уже можно сказать, пока логи, так сказать, готовятся, или нет?

[PavelA]

Карантин пустой. Файлы в него не попали. Будем надеяться, что в новых логах их уже не будет.

[AndreyKa]

после скрипта и утилиты - уже должно что-то улучшиться?

Если перезагрузить компьютер, то есть шанс что да.

Не знаю, что я теперь неправильно делаю: все обновил, все программы отключил...

В настройках IE Временные файлы должны занимать не более 100 МБт.
Перед запуском скриптов их вообще лучше очистить.
Также очистить папку Temp

Посмортите, что пишет AVZ в строке состояния во время выполнения скриптов и узнаете из-за чего так долго.

[IIM]

Обнадежили!
Жаль, что у Вас в правилах нигде не написано, что лучше очистить временные файлы...
Я смотрю на строку состояния: он час "сидел" как раз на temporary internet files.
Сейчас вроде осталось 19 минут, пишет - надеюсь, скоро пришлю логи

[IIM]

Вот новые логи.
Помогло?
Файрвол опять сказал, что проводник куда-то лезет

[IIM]

Вдогонку...
Антивирус говорит, что нашел и отправил в свой карантин файл c:\windows\system32\totour.exe
Делать что-то отсюда: http://virusinfo.info/showthread.php?t=8783?
Или что посоветуете?

[PavelA]

На этот раз в защищенном режиме (Safe Mode)

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\d.exe','');
QuarantineFile('c:\windows\system32\totour.exe','');
 QuarantineFile('C:\WINDOWS\System32\systkw.dll','');
 BC_DeleteFile('c:\cd1041.nls');
 ExecuteSysClean;
 BC_ImportQuarantineList;
RebootWindows(true);
ExecuteSysClean;
end.

После перезагрузки прислать карантин. Можно предварительно посмотреть, есть ли там файлы.
Поискать через AVZ C:\WINDOWS\d.exe, интересно что это таке? Если найдется прислать.

Временные файлы можно почистить CCleaner.

[IIM]

Чего-то, по-моему, не сработало.
Загрузился в безопасном режиме, запустил скрипт в avz. И буквально через 3 секунды комп стал перегружаться; я даже не успел посмотреть, что там он в строке написал. Перегрузился - а в карантине пусто, ничего нового не появилось. Поиск d.exe в avz тоже ничего не дал, а искать d*.exe есть смысле, наверное, много линего вылезет?
Может, можно попробовать не в safe mode этот скрипт, или нет?
И еще странно. Я удалил временные файлы эксплорера, а во время поиска файла avz опять очень долго проверял папки в temporary internet files.
И еще при загрузке (если это имеет значение) вылезла такая ошибка:
microsoft visual c++ runtime library
runtime error
program c:\program files\HP\hpcoretech\comp\hptskmgr.exe
abnormal program termination
(это от сканера программа)

Чего теперь можно сделать попробовать, подскажите?

[Bratez]

Долго смотрел вашу тему и логи. Мысли такие:
1. Вероятно d.exe на самом деле отсутствует.
2. Что за uninstall.exe у вас в папке Автозагрузка?
3. Надо выцеплять systkw.dll и fwdrv.sys - явные зловреды.

Давайте попробуем так:

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\d.exe
O18 - Protocol: csnet - {FF3EFE67-7569-11D2-9F80-00104B107C97} - C:\Program Files\Consistent Software\NormaCS 1.0 Setup\pph_demo_net.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)

и выполните скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\totour.exe','');
 QuarantineFile('C:\WINDOWS\System32\systkw.dll','');
 QuarantineFile('C:\fwdrv.sys','');
BC_ImportQuarantineList;
BC_QrSvc('fwdrv.sys');
BC_Activate;
RebootWindows(true);
end.

Надеюсь, в карантин что-то попадет - пришлите по правилам.
И uninstall.exe туда же закиньте, если не знаете что это.

[IIM]

Большое спасибо!
Что-то начинает вырисовываться... Я стал искать файл uninstall.exe программой avz - и она почему-то его не нашла. Хотя я просто открыл и нашел его проводником тут: c:\documents and settings\IIM\главное меню\программы\автозагрузка\uninstall.exe. А AVZ почему-то его там не находит. Его можно как-то в карантин поместить, если он не находится. Я попробовал - у меня получилось его удалить в корзину. И вот что важно: он создан как раз тогда, когда вся эта гадость у меня полезла (сегодня в 0.1. Что с ним сделать теперь? (Я что-то не разобрался, можно как-то вручную просто файл в карантин avz поместить).
В Hijack пофиксил.
Скрипт запустил.
Что попало в карантин - прислал.
Но как-то я даже увидел свет в конце туннеля, мне кажется
Что теперь нужно дальше делать?

[Alex_Goodwin]

uninstall.exe руками архивируйте в ZIP с паролем virus отсылаете по правилам как карантин.

[IIM]

Заархивировал его в Uninstall.zip с паролем virus и прислал.

[Bratez]

В карантине опять одни *.ini с кодом 34 - обычно это значит "файла нет".
Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\windows\system32\totour.exe');
 DeleteFile('C:\WINDOWS\System32\systkw.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('fwdrv.sys');
BC_DeleteFile('C:\fwdrv.sys');
BC_Activate;
RebootWindows(true);
end.

и осталось глянуть, что за uninstall.

[Bratez]

Это SpamTool.Win32.Agent.u, родной брат того ndis.sys!
Корзину очистите и выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\IIM\Главное меню\Программы\Автозагрузка\Unistall.exe');
 BC_DeleteFile('C:\Documents and Settings\IIM\Главное меню\Программы\Автозагрузка\Unistall.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится, входите в безопасный, снова применяйте утилиту восстановления ndis.sys, потом в нормальный и новые логи в студию.