Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 42.

руткит или вирус, проблемы с ndis.sys и др (заявка № 8766)

  1. #1
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36

    Thumbs up руткит или вирус, проблемы с ndis.sys и др

    Здравствуйте!
    Ноут стал очень долго грузится, и вылетал в синий экран с ndis.sys эту ветку прочитал (http://virusinfo.info/showthread.php...light=ndis.sys) ndis.sys заменил из дистрибутива - в синий экран больше не вылетает, но и никакие сетевые устройства не распознает. обновленные драевера тоже не дает ставить.
    все по инструкции сдалал - файлы в приложении, также и ndis.bak залил.
    Очень жду помощи! Завтра работать надо.
    Спасибо, заранее!
    Последний раз редактировалось _geORge_; 03.04.2007 в 20:31.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36
    Да еще, стоит SAV после перезагрузки не загружается и сканировать систему не дает (один раз, между двумя-тремя перезагрузками дал систему просканировать, но ничего не нашел).
    И каждый раз перед перезагрузкой сообщение выводится - программа Sample не отвечает с предложением завершить сейчас (3 раза подряд), потом ccApp и в конце Symantec AntiVirus.

  4. #3
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36
    Про hijack забыл.
    Последний раз редактировалось _geORge_; 18.07.2007 в 21:52.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    AVZ -> Файл -> Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\ClientCpl.cpl','');
     QuarantineFile('C:\WINDOWS\System32\ipv6mons.dll','');
     QuarantineFile('iwpdgina.dll','');
     QuarantineFile('hblogon.dll','');
     QuarantineFile('C:\WINDOWS\System32\mmrtkrnl.exe','');
     QuarantineFile('C:\WINDOWS\System32\ZCfgSvc.exe','');
     QuarantineFile('C:\WINDOWS\System32\LgNotify.dll','');
     QuarantineFile('C:\WINDOWS\System32\DLGPC.DLL','');
     QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe','');
     QuarantineFile('mmrtkrnl.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\DeviceLockDriverHlp.SYS','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\DeviceLockDriver0.SYS','');
     QuarantineFile('C:\WINDOWS\System32\LSAWRAPI.dll','');
     QuarantineFile('C:\WINDOWS\System32\iwpdgina.dll','');
     QuarantineFile('C:\WINDOWS\system32\hblogon.dll','');
     QuarantineFile('C:\WINDOWS\system32\ASWL2K.exe','');
     QuarantineFile('C:\Program Files\Active Desktop Calendar\mousehook.dll','');
     QuarantineFile('c:\windows\system32\aswlsvc.exe','');
     QuarantineFile('c:\windows\system32\aswl2k.exe','');
    BC_ImportQuarantineList;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
    RebootWindows(false);
    end.
    После перезагрузки, запаковать все содержымое папки Quarantine в архив с паролем virus и прислать нам через эту форму.

    Плюс, в папке AVZ найти файл boot_clr.log и выложыть его сюда.

  6. #5
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36
    Огромное спасибо за столь оперативный ответ!
    Скрипт выполнил - все про sample срашивает.
    Перезагружаюсь....

  7. #6
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36
    Quarantine.zip закачал
    Файла boot_clr.log не обнаружил.
    Жду указаний.



    Результат загрузки
    Файл сохранён как 070402_002731_Quarantine_461015b368119.zip
    Размер файла 1238944
    MD5 a492b0ab49219dfa9c16daace7644a2c

    Файл закачан, спасибо!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795
    Если Вы не фанат Symantec, то лучше поставить другой антивирус. И самое главное: Windows XP SP1 - это что такое? Убрать и поставить SP2. Иначе может статься, что и здесь Вам не помогут.

  9. #8
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36
    А какой? nod? KAV? ...
    sp2 уже после чистки.
    много софта и настроек, времени жалко на переустановку.

  10. #9
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36
    Будто бы и забыли про меня вовсе...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Из того, что прислали, однозначно детектится следующее:
    C:\Temp\ICD1.tmp\epl.exe - Trojan.Win32.LipGame.cd
    C:\winddsa.exe - Trojan-Downloader.Win32.Small.cul
    C:\WINDOWS\system32\uvcx.exe - Trojan-Downloader.Win32.Small.cul
    (по Касперскому)
    По результатам проверки на Virustotal:
    C:\WINDOWS\System32\ipv6mons.dll - Win32/Spy.BZub.IK (НОД32)
    C:\WINDOWS\System32\mmrtkrnl.exe - Backdoor.Win32.Delf.ach (VBA32)

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В AVZ выполнить скрипт:

    Код:
    begin
    DeleteFile('C:\winddsa.exe');
    DeleteFile('C:\WINDOWS\system32\uvcx.exe');
    DeleteFile('C:\Temp\ICD1.tmp\epl.exe');
    DeleteFile('C:\WINDOWS\System32\mmrtkrnl.exe');
     DeleteFile('C:\WINDOWS\System32\ipv6mons.dll');
    ExecuteSysClean;
    end.
    Если сломается RealAudio, то надо будет переустановить RealPlayer.

    После выполнения скрипта сделать логи с п.10 Правил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    В добавок к тому, что написал PavelA, если время и канал позволяют, загрузите утилиту CureIt! и проверьте систему в безопасном режиме (F8 в начале загрузки). По окончании проверки, сделайте новые логи, начиная с п. 10 правил
    Последний раз редактировалось Numb; 02.04.2007 в 16:09. Причина: Скрипт уже написан

  14. #13
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36

    Результаты

    Все сделал, логи прикрепляю.

    Также прислал найденный CureIt! - ом файл.

    Файл сохранён как 070402_215050_DoctorWeb_4611427a9b547.zip
    Размер файла 10540
    MD5 3179e9b8e40f9b31101a100b0b3c6f44

    Жду указаний.

    Кажется, мне переустановка системы все же светит сегодня, а?
    Последний раз редактировалось _geORge_; 03.04.2007 в 20:45.

  15. #14
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36
    Система как тормозила, так и тормозит...
    Сетевый устройства драйвера видеть в упор не хотят, абидэлись наверное ;-).

  16. #15
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36
    Удалил SAV, поставил NOD (он хоть заработал).
    Сканирование показало, что есть такой гад - mmrtkrnl.exe.
    Удалил он его к черту.
    А тормоза теже.
    И перед перезагрузкой предлагается принудительно завершить работу некоего "Sample".
    %^*)(*&@$&%!)(&@$&^(@#&^*^%~$%!&^(^
    Это у меня в голове вирус завелся.
    Кто поможет?

  17. #16
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36
    Други, а-у!
    %^*)(*&@$&%!)(&@$&^(@#&^*^%~$%!&^(^
    Это у меня в голове вирус завелся.
    Кто поможет?

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\ipv6mons.dll');
     DeleteFile('C:\WINDOWS\System32\mmrtkrnl.exe');
     BC_ImportDeletedList;
     BC_DeleteSVC('MMRTKRNL');
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    и повторите логи п.10 и 12 правил.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В AVZ выполнить скрипт

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\hblogon.dll','');
     BC_ImportQuarantineList;
     BC_Activate;
     // Перезагрузка
     RebootWindows(true);
    end.
    После перезагрузки прислать карантин. Есть подозрение, что друзей "зверька" забыли.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    01.04.2007
    Сообщений
    30
    Вес репутации
    36
    То PavelA - скрипт выполнил, тормозит система также.
    То Bratez - скрипт выполнил, тормозит система также.

    Логи выложил.

    Очень жду ответа.
    Последний раз редактировалось _geORge_; 03.04.2007 в 20:46.
    %^*)(*&@$&%!)(&@$&^(@#&^*^%~$%!&^(^
    Это у меня в голове вирус завелся.
    Кто поможет?

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    1. hblogon.dll так и не увидел. Надо поискать в AVZ, добавить в карантин и прислать.
    2. выполнить скрипт Bratez в SafeMode ( F8 ). Все, что удаляли, живо и невредимо. Перед выполнением отключить сканер Nod32.
    3. Symantec в логах - что это такое? Если два антивируса, то это тормоза еще те.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) _geORge_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 3 123 Последняя

    Похожие темы

    1. Проблемы с ndis.sys после заражения
      От adefomin в разделе Microsoft Windows
      Ответов: 5
      Последнее сообщение: 27.02.2012, 09:01
    2. Вирус в C:\WINDOWS\system32\drivers\ndis.sys
      От Bonifan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.10.2010, 13:27
    3. Вирус virus.win32.protector.f в файле Ndis.sys (заявка №25678)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 19.07.2010, 03:00
    4. Вирус в NDIS.SYS, много качает из интернета
      От galsi в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 30.08.2009, 11:38
    5. WinXP Nod32 вирус в NDIS.SYS
      От Sergeika в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.08.2009, 11:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01306 seconds with 23 queries