Непонятно, чем заражено
после подключения к интернету (изпользуется диал-ап соединение через data-3gmodem) системные файлы начинают лезть на непонятно какие сайты и забивают весь канал. То, что мне выдал netstat, прилагаю. Проверка всевозможными антивирусами этих файлов ничего не дала.
До этого, машина была заражена Vinrut, NTRootKit, Agent.NVL, но спаренными усилиями КюрИт и Нод32 зараза была излечена.
Жду советов,
Спасибо
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ваша система поражена файловым вирусом.>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Рекомендации по лечению здесь:
http://virusinfo.info/showthread.php?t=15927.
Потом скачайте заново AVZ и HijackThis, обновите базы AVZ,
пофиксите в HijackThis:
перезагрузите компьютер и сделайте логи еще раз.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
I am not young enough to know everything...
собсно, вот. по-моему, ничего не помогло. Оно как забивало канал, так и забивает. Лечился CureIt'ом, записанным на болванку. Завтра попробую все тоже самое, но с LiveCD
Не нужно LiveCD, теперь все понятно. Файлового вируса больше нет.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys',''); DeleteFile('C:\WINDOWS\services.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=40504).
У вас подменен драйвер ndis.sys. Надо восстановить его из дистрибутива или скопировать из здоровой системы. Замену производите только в безопасном режиме.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
О как повернулась ситуевина. Доберусь до дома - сделаю.
Вопрос: скопировать ndis.sys ДО или ПОСЛЕ выполнения скрипта авз4?
И небольшая просьба - не могли бы Вы его (ndis.sys) выложить сюда? Ибо твердо не уверен, нет ли заразы за той машиной, на которой сейчас сижу.
Заранее спасибо.
З.Ы. До конца не разобрался со скриптами в авз4. Когда выкладывал первый раз, они были выполнены практически моментально. Во второй же раз довольно таки долго авз сканировала систему. что я делаю не так?
Замену ndis.sys делать после скрипта.
I am not young enough to know everything...
/me неистово бьеццо в поклонах
Спасибо, товарисчи!
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Добавлено через 1 минуту
И карантина вашего нет!
А вдруг это новая версия? Внесите свой вклад в наше правое дело!
Последний раз редактировалось Bratez; 27.02.2009 в 16:43. Причина: Добавлено
I am not young enough to know everything...
карантина нет и логов, ибо я только домой добрался
однако, следующая проблема.
ndis.sys, присланный Вами находится либо в запароленном архиве, либо битый, ибо при попытке извлечь с помощью Rar'a пишет "Отказано в доступе", при использовании стандартного распаковщика винды - просит пароль. В смятении я...
Архив рабочий...
без понятия... скачивал несколько раз, пробовал вытащить из архива в безопасном режиме и обычном. не получается. можете ли скинуть его не в архиве?
Гриша, спасибо
не дает доступа для записи файла. Даже при закачке из интернета, если имя файла "ndis.sys" - не закачивает, если же переименовать - то нормально, однако в безопасном режиме не дает ни заменить исходник, ни переименовать.
Как быть в такой ситуации?
Добавлено через 8 минут
ага, нашел - http://virusinfo.info/showpost.php?p=96020&postcount=9. щас я его....
Добавлено через 10 минут
никак не могу убить этот ndis.sys...
Добавлено через 13 минут
/me ушел в перестановку винды. карантины скинул
Последний раз редактировалось a_deep; 28.02.2009 в 01:00. Причина: Добавлено
Зачем переустановка?! Загрузите консоль восстановления и замените этот ndis.sys из дистрибутива. Делов на 5 минут!
I am not young enough to know everything...
мы не ищем легких путей ©
переставил, все работает как часы.
подозрения на то, что вирус как то пролез через интернет эксплорер.
как там карантин?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) a_deep, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
