-
Junior Member
- Вес репутации
- 54
Win32/Protector.C и Win32/Rootkit.Agent.NKB (ESET)
Система WXP SP2, антивирус ESET SS 4. При загрузке системы антивирус находит в ndis.sys Win32/Protector.C лечить не может. При запуске Оперы появляються 4 процесса svchost и грузят весь исходящий канал из-за чего не возможно пользоваться интернетом. При отключении процессов необходимо заново переподключать подключение к интернету. Процессы возникают только при использовании Оперы (v.10). Недавно появилсь новый (Win32/Rootkit.Agent.NKB) в файле tcpsr.sys, лечиться, но снова появляеться. Также в hosts был прописан какой-то сервер .pl к сожалению точного названия не помню.
Буду благодарный за помощь
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\reader_s.exe','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\WsAudioDevice_383.sys','');
QuarantineFile('c:\windows\vmsnap26.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\Documents and Settings\Администратор\reader_s.exe');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Пофиксить в HJT(строки могут отсутствовать):
Код:
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
Подготовьте новые логи.
-
-
Junior Member
- Вес репутации
- 54
Спасибо за быстрый ответ! Все сделал, svchost стало 3 вместо 4-х Я их закрываю, чтобы получить доступ к интернету
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
QuarantineFile('C:\WINDOWS\system32\xmlparse.dll','');
QuarantineFile('C:\WINDOWS\system32\xmltok.dll','');
end.
Пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
-
-
Junior Member
- Вес репутации
- 54
-
C:\WINDOWS\system32\Drivers\NDIS.sys заменить по этой методике http://virusinfo.info/showthread.php?t=51654 (не из dllcache)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
К сожалению не удалось, уж простите, вроде бы все делал правильно. Пробовал несколько раз с дистрибутива через консоль востановления "Не удается создать файл ndis.sys 0 файлов распаковано"
Еще раньше пробовал утилитой ndis.repair.utility с вашего форума, файл изменился, размер уменьшился, но потом всеравно заразился, видимо.
-
Можно попробовать это: установите SP3 (может потребоваться активация) + все новые заплатки
Файл должен замениться
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
При установке пишет, что ndis.sys используэться другим приложением. Три svchost выключены
-
Кроме замены с консоли восстановления, в совете http://virusinfo.info/showthread.php?t=51654 было
Если это невозможно - то с любого Live CD (BartPE, Knoppix)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Заменил ndis.sys, проблем пока не наблюдаеться. Спасибо большое
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-