руткит или вирус, проблемы с ndis.sys и др

**_geORge_** · 03.04.2007, 19:09

Сейчас все сделаю.
Symantec так и не смог полностью удалить.
Попробую реестр почистить AVZ.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 03.04.2007, 19:14

Для Symanteca можно воспользоваться их фирменной утилитой.
Есть на www.9down.com
См. также в теме про Symantec antivirus http://virusinfo.info/showthread.php...newpost&t=8779

**_geORge_** · 03.04.2007, 19:37

В safe mode запустил скрипт.
Карантин прислал.

Сохра
нён как
070403_193437_2007-04-03_4612740de5683.zipРазмер файла21608MD551a8d753fd57d62601ca09659b44477b

**PavelA** · 03.04.2007, 19:57

hblogon.dll - чистый.

Попробуем поступить так:
в HijackThis сделать Scan и профиксить:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program Files\Symantec AntiVirus\DefWatch.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program Files\Symantec AntiVirus\SavRoam.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Unknown owner - C:\Program Files\Symantec AntiVirus\Rtvscan.exe (file missing)

После этого перезагрузиться. посмотреть на состояние.

O15 - Trusted Zone: *.p0rt2.com

Если сам не прописывал, то тоже профиксить.

Код:

C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm

в карантин и прислать.

**_geORge_** · 03.04.2007, 20:06

Сообщение от PavelA

hblogon.dll - чистый.

O15 - Trusted Zone: *.p0rt2.com - а с эти что надо делать, Вы уж извините

.

Если сам не прописывал, то тоже профиксить.

У меня с прописыванием туго

сам ничего вроде не делал.

Код:

C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm

в карантин и прислать.

Symantec утилитой удалил.

**PavelA** · 03.04.2007, 20:10

Не прописывал, тогда профиксить эту строчку. Да и не относящиеся к Symantec в #24 тоже.

**_geORge_** · 03.04.2007, 20:19

Разобрался.
Профиксил.
Перезагружаюсь.

А что может значить этот Sample, который каждый раз при перезагрузке висит?
Теперь уже три раза подряд надо его в ручную отрубать.

**_geORge_** · 03.04.2007, 20:24

А что надо с этой строкой

Код:
C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.ht m
делать?

**PavelA** · 03.04.2007, 20:27

Сообщение от _geORge_

А что может значить этот Sample, который каждый раз при перезагрузке висит?
Теперь уже три раза подряд надо его в ручную отрубать.

Это что-то запускается при старте системы. Можно попробовать качнуть BootVis-Tools и посмотреть что стартует в процессе загрузки.

Подозрительное все вроде отключили, даже интересно вылезет Sample или нет.

**_geORge_** · 03.04.2007, 20:28

Результаты.
А можно еще места для загрузки добавить, а то боюсь не хватит?

**PavelA** · 03.04.2007, 20:28

Сообщение от _geORge_

А что надо с этой строкой

Код:
C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.ht m
делать?

Запустить AVZ. Поискать на диске этот файл blank.htm без пробельчика
Если найдется, то положить в карантин и прислать сюда.

**PavelA** · 03.04.2007, 20:29

Лишние логи можно поудалять. Те, что были вначале.

**_geORge_** · 03.04.2007, 20:42

blank.htm нашел и отослал Вам.

Результат загрузки
Файл сохранён как 070403_204144_2007-04-03_02_461283c8e3d57.zip
Размер файла 22579
MD5 d11f82fadd4da9921c7a06f4e00e61df

**_geORge_** · 03.04.2007, 20:43

Sample не исчез.
Грузится все также медленно.

**PavelA** · 03.04.2007, 20:47

Файлик чистый.

Если вопросы остались, будем завтра разбираться. Иначе я домой больно поздно попаду.

**_geORge_** · 03.04.2007, 20:55

Пожалуй и я сдаюсь.
Самый лучший способ избавиться от вирусов - переустановить этот е..ный Windows!

**PavelA** · 03.04.2007, 21:05

Зря. Надо попробовать LSPFIX. Должен помочь.

http://download.bleepingcomputer.com/spyware/lspfix.zip

Путь второй - переустановить драйвера сетевой карты. Удалить ее из конфигурации, после перезагрузки винда запросит драйвера. Нужно будет ей подсунуть.

**_geORge_** · 03.04.2007, 21:17

Невозможно, говорит устройства удалить, они могут потребоваться для загрузки компьютера (особенно ик порт).
Такого я еще не видел.

**_geORge_** · 03.04.2007, 21:22

Да, кстати, в safe mode, Sample тоже висит.

**PavelA** · 04.04.2007, 10:08

Есть у тебя такая программа - DeviceLock. Посмотри ее настройки.
Описание на странице:
http://kis.pcweek.ru/Year2004/N44/CP...eek/chapt2.htm

mmrtkrnl - посмотри, нет ли такой гадости в диспетчере устройств.

руткит или вирус, проблемы с ndis.sys и др (заявка № 8766)

Опции темы

Похожие темы

Проблемы с ndis.sys после заражения

Вирус в C:\WINDOWS\system32\drivers\ndis.sys

Вирус virus.win32.protector.f в файле Ndis.sys (заявка №25678)

Вирус в NDIS.SYS, много качает из интернета

WinXP Nod32 вирус в NDIS.SYS

Ваши права в разделе