-
Junior Member
- Вес репутации
- 56
Непонятно, чем заражено
после подключения к интернету (изпользуется диал-ап соединение через data-3gmodem) системные файлы начинают лезть на непонятно какие сайты и забивают весь канал. То, что мне выдал netstat, прилагаю. Проверка всевозможными антивирусами этих файлов ничего не дала.
До этого, машина была заражена Vinrut, NTRootKit, Agent.NVL, но спаренными усилиями КюрИт и Нод32 зараза была излечена.
Жду советов,
Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Ваша система поражена файловым вирусом.
Рекомендации по лечению здесь:
http://virusinfo.info/showthread.php?t=15927.
Потом скачайте заново AVZ и HijackThis, обновите базы AVZ,
пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
перезагрузите компьютер и сделайте логи еще раз.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
собсно, вот. по-моему, ничего не помогло . Оно как забивало канал, так и забивает. Лечился CureIt'ом, записанным на болванку. Завтра попробую все тоже самое, но с LiveCD
-
Не нужно LiveCD, теперь все понятно. Файлового вируса больше нет.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=40504).
У вас подменен драйвер ndis.sys. Надо восстановить его из дистрибутива или скопировать из здоровой системы. Замену производите только в безопасном режиме.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
О как повернулась ситуевина. Доберусь до дома - сделаю.
Вопрос: скопировать ndis.sys ДО или ПОСЛЕ выполнения скрипта авз4?
И небольшая просьба - не могли бы Вы его (ndis.sys) выложить сюда? Ибо твердо не уверен, нет ли заразы за той машиной, на которой сейчас сижу.
Заранее спасибо.
З.Ы. До конца не разобрался со скриптами в авз4. Когда выкладывал первый раз, они были выполнены практически моментально. Во второй же раз довольно таки долго авз сканировала систему. что я делаю не так?
-
Замену ndis.sys делать после скрипта.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
/me неистово бьеццо в поклонах
Спасибо, товарисчи!
-
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Добавлено через 1 минуту
И карантина вашего нет!
А вдруг это новая версия? Внесите свой вклад в наше правое дело!
Последний раз редактировалось Bratez; 27.02.2009 в 16:43.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
карантина нет и логов, ибо я только домой добрался а благодарности за помощь приношу
однако, следующая проблема.
ndis.sys, присланный Вами находится либо в запароленном архиве, либо битый, ибо при попытке извлечь с помощью Rar'a пишет "Отказано в доступе", при использовании стандартного распаковщика винды - просит пароль. В смятении я...
-
-
-
Junior Member
- Вес репутации
- 56
без понятия... скачивал несколько раз, пробовал вытащить из архива в безопасном режиме и обычном. не получается. можете ли скинуть его не в архиве?
-
-
-
Junior Member
- Вес репутации
- 56
Гриша, спасибо
не дает доступа для записи файла. Даже при закачке из интернета, если имя файла "ndis.sys" - не закачивает, если же переименовать - то нормально, однако в безопасном режиме не дает ни заменить исходник, ни переименовать.
Как быть в такой ситуации?
Добавлено через 8 минут
ага, нашел - http://virusinfo.info/showpost.php?p=96020&postcount=9. щас я его....
Добавлено через 10 минут
никак не могу убить этот ndis.sys...
Добавлено через 13 минут
/me ушел в перестановку винды. карантины скинул
Последний раз редактировалось a_deep; 28.02.2009 в 01:00.
Причина: Добавлено
-
Зачем переустановка?! Загрузите консоль восстановления и замените этот ndis.sys из дистрибутива. Делов на 5 минут!
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
мы не ищем легких путей ©
переставил, все работает как часы.
подозрения на то, что вирус как то пролез через интернет эксплорер.
как там карантин?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-