Trojan.Backdoor.Win32.Bredolab.dt

[wheeller]

Подцепил в Интернете Trojan.Backdoor.Win32.Bredolab.dt и Virus.Win32.Protector.b. Касперский их удалил, но после этого стало появляться окно с сообщением "Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Вставьте компакт-диск... " после нажатия "Отмена" появляется окно с сообщением "вы отказались от восстановления исходных версий файлов. это может нарушить стабильность работы windows. вы действительно хотите сохранить эти нераспознанные версии файлов". Нажимаю "да".. окно исчезает и появляется снова.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
end.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Какие файлы были заменены?

[wheeller]

Карантин прислал. О том какие файлы были заменены ничего сказать не могу, т.к. в журнале событий Касперского записей нет. Имеются записи об обнаруженных и затем вылеченных Trojan.Backdoor.Win32.Bredolab.dt и Virus.Win32.Protector.b...
Как избавиться от этого сообщения?

[thyrex]

Имеются записи об обнаруженных и затем вылеченных Trojan.Backdoor.Win32.Bredolab.dt и Virus.Win32.Protector.b...

А там разве не указано имя файла?

[wheeller]

Нашел запись "обнаружено" Virus.Win32.Protector.b - Generic Host Process.. - C:\WINDOWS\SYSTEM32\DRIVERS\ndis.sys, ниже "вылечено" Virus.Win32.Protector.b - Generic Host Process.. - C:\WINDOWS\SYSTEM32\DRIVERS\ndis.sys
C:\WINDOWS\SYSTEM32\dllcache\ndis.sys
Далее:
07.08.2009 13:45:23 Обнаружено: Backdoor.Win32.Bredolab.dt Adobe Reader 7.0 http://a5m.at:8080/welcome.php?id=5&hello10
07.08.2009 13:45:24 Запрещено: Backdoor.Win32.Bredolab.dt Adobe Reader 7.0 http://a5m.at:8080/welcome.php?id=5&hello10

07.08.2009 13:46:29 Обнаружено: Suspicious driver installation INSTALL.EXE C:\DOCUMENTS AND SETTINGS\EUGENIY\LOCAL SETTINGS\TEMP\RARSFX0\INSTALL.EXE
07.08.2009 13:46:42 Завершен: Suspicious driver installation INSTALL.EXE C:\DOCUMENTS AND SETTINGS\EUGENIY\LOCAL SETTINGS\TEMP\RARSFX0\INSTALL.EXE
07.08.2009 13:46:42 Обнаружено: Suspicious driver installation WPV781249365049.EXE C:\WINDOWS\TEMP\WPV781249365049.EXE
07.08.2009 13:46:46 Завершен: Suspicious driver installation WPV781249365049.EXE C:\WINDOWS\TEMP\WPV781249365049.EXE
... все временные файлы почистил C'cleaner'ом

В разделе Самозащита (6000 записей):
08.08.2009 12:28:43 Запрещено FIXCCS.EXE Изменение REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\avp \$%&'()*+,
.....
08.08.2009 12:35:01 Запрещено FIXCCS.EXE Изменение REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\kli f\Parameters\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123

[thyrex]

На всякий случай

Файлы ndis.sys и beep.sys нужно заменить на чистые из дистрибутива:
- Загрузитесь в консоли восстановления
- На приглашение введите строку:

Код:

expand X:\i386\ndis.sy_ C:\WINDOWS\system32\drivers\ndis.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.

- На приглашение введите строку:

Код:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.

- Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
- Загрузитесь нормально.

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

[wheeller]

Я устанавливал Windows XP с диска Windows XP SP2, сейчас его у меня нет, есть диск Windows XP SP1. Можно ли с него заменить эти файлы?

[thyrex]

К сожалению нет. Но есть вариант установить SP3 (может потребоваться активация). А заодно и все новые патчи поставить после этого

[wheeller]

не получается заменить файл
C:\WINDOWS>EXPAND E:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys
Не удается создать файл beep.sys.
0 файлов распаковано.
Также и с ndis.sys
UPD: Систему до SP3 я буквально вчера обновил... может попробовать еще раз те же обновления поставить (WindowsXP-KB936929-SP3-x86-RUS)??

[thyrex]

Своим предыдущим сообщением ввели меня в заблуждение

Попробуйте повторно установить

[wheeller]

Переустановил заново SP3, ничего не помогло... как избавиться от этого оповещения о файлах замененных "неизвестными версиями" ??? ( ...попутно заметил: если поставить любой диск в DVD-ROM это сообщение исчезает... убираешь диск - снова та же песня...

[thyrex]

Скачайте архивы из вложений. Распакуйте их в какую-нибудь папку

Загрузитесь с LiveCD
Замените соответствующие файлы в папках C:\WINDOWS\system32\drivers и C:\WINDOWS\SYSTEM32\dllcache

[wheeller]

Напишите подробнее о LiveCD (где взять? что и как делать?)
UPD: в папке C:\WINDOWS\SYSTEM32\dllcache\ файлов beep и ndis нет.

Добавлено через 2 часа 27 минут

ОГРОМНОЕ Вам спасибо thyrex, Разобрался что к чему скачал с торрента BartPE LiveCD, и там уже через Total Commander заменил в папке C:\WINDOWS\system32\drivers файлы на оригинальные. Правда с первого раза не получилось, т.к. я эти beep и ndis скопировал и в папку C:\WINDOWS\SYSTEM32\dllcache хотя их там и не было... получил в итоге BSOD удалил их из dllcache, и все заработало! Всплывающее окно исчезло. Спасибо Вам еще раз!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\drivers\beep.sys - Rootkit.Win32.Pakes.wc ( DrWEB: Trojan.NtRootKit.3265 )