Показано с 1 по 20 из 20.

Вирус в NDIS.SYS, много качает из интернета (заявка № 53101)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    43
    Вес репутации
    28

    Exclamation Вирус в NDIS.SYS, много качает из интернета

    Здравствуйте! У меня такая проблема: после каждого обновления NODa выскакивает такое сообщение:

    Но удалить файл NDIS.SYS невозможно. Сканировался компьютер несколько раз NODом и программой Malwarebytes' Anti-Malware, но они ничего не находят.
    В диспетчере задач появляется два лишних процесса svchost.ехе, после отключения которых больше не происходит ненужная закачка из Интернета.
    Все логи сделаны.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\SERVICES.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\QSQTQSTO.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\xzqg.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\fddaurmb.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\b73287ef.sys','');
     QuarantineFile('C:\WINDOWS\system32\uscsvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\xzqg.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\QSQTQSTO.sys');
     DeleteFile('C:\WINDOWS\SERVICES.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин через красную ссылку.
    Файл NDIS.SYS надо будет заменить с дистрибутива через консоль восстановления.

    После всего этого пролечится по теме http://virusinfo.info/showthread.php?t=43700
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    43
    Вес репутации
    28
    Ваш скрипт выполнен.
    Сделаны новые логи.
    Карантин отправлен (правда, не получилось установить пароль).

    Что касается файла NDIS.SYS, то у меня на данный момент нет дистрибутива. Попробую достать в ближайшее время.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Пароль AVZ ставит сама, если через нее карантин паковали.
    Без замены NDIS не вылечится.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    43
    Вес репутации
    28
    Не могу никак найти дистрибутив. Может Вы можете мне прислать файл NDIS? Или так нельзя сделать?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    на file.net поищи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    43
    Вес репутации
    28
    Извините, Павел, за мою тупость, но я на file.net не могу разобраться, а те ссылки, которые я там нажимаю, блокируются НОДом как троян. Может Вы мне кинете ссылочку, откуда скачать, если Вам не трудно?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    http://www.dynamiclink.nl/htmfiles/r.../info_n/23.htm
    там только надо выбрать для своей версии ХР
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    43
    Вес репутации
    28
    Скачала по ссылке DriverCure Installer, но там просят сначала зарегистрировать программу за $29.97 (((

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    извините не проверил, на работе запарка.

    В папке dllcache поищите ndis.sys. Если найдется, то сравните размер.
    Далее надо будет из dllcashe перенести в корневой каталог,
    а потом уже в консоли восстановления заменить.
    Последний раз редактировалось PavelA; 28.08.2009 в 12:34.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    43
    Вес репутации
    28
    Подскажите чайнику, как перенести файл в корневой каталог.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Корень диска это C:\. Копировать explorer(правая клавиша мыши, копировать) , far (F5), total Commander (F5)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,625
    Вес репутации
    2917
    ndis.sys в папке dllcache также заражается. Поэтому такой вариант неприемлем
    Последний раз редактировалось thyrex; 28.08.2009 в 15:14.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Значит, надо искать или файл, или дистрибутив. От старых зверей была лечилка, но боюсь от новых она не сработает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,625
    Вес репутации
    2917
    Здесь я выкладывал нужный файл в заархивированном виде. Скачиваете, распаковываете куда-нибудь и заменяете с консоли восстановления или LiveCD
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    43
    Вес репутации
    28
    А без консоли восстановления можно файлы заменить? Просто установочного диска у меня нет да я и не умею пользоваться консолью.

    Добавлено через 1 час 42 минуты

    Цитата Сообщение от thyrex Посмотреть сообщение
    Здесь я выкладывал нужный файл в заархивированном виде. Скачиваете, распаковываете куда-нибудь и заменяете с консоли восстановления или LiveCD
    Архив не распаковывается. Пишет: "Невозможно создать NDIS.SYS. Отказано в доступе."
    Последний раз редактировалось galsi; 29.08.2009 в 00:11. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Куда распаковываете?

  19. #18
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    43
    Вес репутации
    28
    И "в текущую папку", и в корневой каталог C, и в D, везде пишет одно и то же.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от galsi Посмотреть сообщение
    А без консоли восстановления можно файлы заменить?
    Нет.
    Просто установочного диска у меня нет да я и не умею пользоваться консолью.
    Найдите Live CD (Bart PE или Knoppix) или сделайте их на чистой машине.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.b ( DrWEB: Trojan.NtRootKit.2912, BitDefender: Rootkit.19832, NOD32: Win32/Protector.C virus, AVAST4: Win32:Cutwail-J )
      2. c:\windows\system32\uscsvc.exe - Trojan-Clicker.Win32.Delf.cpb


  • Уважаемый(ая) galsi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирус в C:\WINDOWS\system32\drivers\ndis.sys
      От Bonifan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.10.2010, 13:27
    2. Вирус virus.win32.protector.f в файле Ndis.sys (заявка №25678)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 19.07.2010, 03:00
    3. WinXP Nod32 вирус в NDIS.SYS
      От Sergeika в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.08.2009, 11:43
    4. Ответов: 1
      Последнее сообщение: 21.09.2008, 17:34
    5. руткит или вирус, проблемы с ndis.sys и др
      От _geORge_ в разделе Помогите!
      Ответов: 41
      Последнее сообщение: 04.04.2007, 22:35

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00434 seconds with 23 queries