-
Junior Member
- Вес репутации
- 63
руткит или вирус, проблемы с ndis.sys и др
Здравствуйте!
Ноут стал очень долго грузится, и вылетал в синий экран с ndis.sys эту ветку прочитал (http://virusinfo.info/showthread.php...light=ndis.sys) ndis.sys заменил из дистрибутива - в синий экран больше не вылетает, но и никакие сетевые устройства не распознает. обновленные драевера тоже не дает ставить.
все по инструкции сдалал - файлы в приложении, также и ndis.bak залил.
Очень жду помощи! Завтра работать надо.
Спасибо, заранее!
Последний раз редактировалось _geORge_; 03.04.2007 в 20:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Да еще, стоит SAV после перезагрузки не загружается и сканировать систему не дает (один раз, между двумя-тремя перезагрузками дал систему просканировать, но ничего не нашел).
И каждый раз перед перезагрузкой сообщение выводится - программа Sample не отвечает с предложением завершить сейчас (3 раза подряд), потом ccApp и в конце Symantec AntiVirus.
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось _geORge_; 18.07.2007 в 21:52.
-
AVZ -> Файл -> Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\ClientCpl.cpl','');
QuarantineFile('C:\WINDOWS\System32\ipv6mons.dll','');
QuarantineFile('iwpdgina.dll','');
QuarantineFile('hblogon.dll','');
QuarantineFile('C:\WINDOWS\System32\mmrtkrnl.exe','');
QuarantineFile('C:\WINDOWS\System32\ZCfgSvc.exe','');
QuarantineFile('C:\WINDOWS\System32\LgNotify.dll','');
QuarantineFile('C:\WINDOWS\System32\DLGPC.DLL','');
QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe','');
QuarantineFile('mmrtkrnl.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\DeviceLockDriverHlp.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\DeviceLockDriver0.SYS','');
QuarantineFile('C:\WINDOWS\System32\LSAWRAPI.dll','');
QuarantineFile('C:\WINDOWS\System32\iwpdgina.dll','');
QuarantineFile('C:\WINDOWS\system32\hblogon.dll','');
QuarantineFile('C:\WINDOWS\system32\ASWL2K.exe','');
QuarantineFile('C:\Program Files\Active Desktop Calendar\mousehook.dll','');
QuarantineFile('c:\windows\system32\aswlsvc.exe','');
QuarantineFile('c:\windows\system32\aswl2k.exe','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(false);
end.
После перезагрузки, запаковать все содержымое папки Quarantine в архив с паролем virus и прислать нам через эту форму.
Плюс, в папке AVZ найти файл boot_clr.log и выложыть его сюда.
-
-
Junior Member
- Вес репутации
- 63
Огромное спасибо за столь оперативный ответ!
Скрипт выполнил - все про sample срашивает.
Перезагружаюсь....
-
Junior Member
- Вес репутации
- 63
Quarantine.zip закачал
Файла boot_clr.log не обнаружил.
Жду указаний.
Результат загрузки
Файл сохранён как 070402_002731_Quarantine_461015b368119.zip
Размер файла 1238944
MD5 a492b0ab49219dfa9c16daace7644a2c
Файл закачан, спасибо!
-
Если Вы не фанат Symantec, то лучше поставить другой антивирус. И самое главное: Windows XP SP1 - это что такое? Убрать и поставить SP2. Иначе может статься, что и здесь Вам не помогут.
-
-
Junior Member
- Вес репутации
- 63
А какой? nod? KAV? ...
sp2 уже после чистки.
много софта и настроек, времени жалко на переустановку.
-
Junior Member
- Вес репутации
- 63
Будто бы и забыли про меня вовсе...
-
Из того, что прислали, однозначно детектится следующее:
C:\Temp\ICD1.tmp\epl.exe - Trojan.Win32.LipGame.cd
C:\winddsa.exe - Trojan-Downloader.Win32.Small.cul
C:\WINDOWS\system32\uvcx.exe - Trojan-Downloader.Win32.Small.cul
(по Касперскому)
По результатам проверки на Virustotal:
C:\WINDOWS\System32\ipv6mons.dll - Win32/Spy.BZub.IK (НОД32)
C:\WINDOWS\System32\mmrtkrnl.exe - Backdoor.Win32.Delf.ach (VBA32)
-
-
В AVZ выполнить скрипт:
Код:
begin
DeleteFile('C:\winddsa.exe');
DeleteFile('C:\WINDOWS\system32\uvcx.exe');
DeleteFile('C:\Temp\ICD1.tmp\epl.exe');
DeleteFile('C:\WINDOWS\System32\mmrtkrnl.exe');
DeleteFile('C:\WINDOWS\System32\ipv6mons.dll');
ExecuteSysClean;
end.
Если сломается RealAudio, то надо будет переустановить RealPlayer.
После выполнения скрипта сделать логи с п.10 Правил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
В добавок к тому, что написал PavelA, если время и канал позволяют, загрузите утилиту CureIt! и проверьте систему в безопасном режиме (F8 в начале загрузки). По окончании проверки, сделайте новые логи, начиная с п. 10 правил
Последний раз редактировалось Numb; 02.04.2007 в 16:09.
Причина: Скрипт уже написан
-
-
Junior Member
- Вес репутации
- 63
Результаты
Все сделал, логи прикрепляю.
Также прислал найденный CureIt! - ом файл.
Файл сохранён как 070402_215050_DoctorWeb_4611427a9b547.zip
Размер файла 10540
MD5 3179e9b8e40f9b31101a100b0b3c6f44
Жду указаний.
Кажется, мне переустановка системы все же светит сегодня, а?
Последний раз редактировалось _geORge_; 03.04.2007 в 20:45.
-
Junior Member
- Вес репутации
- 63
Система как тормозила, так и тормозит...
Сетевый устройства драйвера видеть в упор не хотят, абидэлись наверное ;-).
-
Junior Member
- Вес репутации
- 63
Удалил SAV, поставил NOD (он хоть заработал).
Сканирование показало, что есть такой гад - mmrtkrnl.exe.
Удалил он его к черту.
А тормоза теже.
И перед перезагрузкой предлагается принудительно завершить работу некоего "Sample".
%^*)(*&@$&%!)(&@$&^(@#&^*^%~$%!&^(^
Это у меня в голове вирус завелся.
Кто поможет?
-
Junior Member
- Вес репутации
- 63
%^*)(*&@$&%!)(&@$&^(@#&^*^%~$%!&^(^
Это у меня в голове вирус завелся.
Кто поможет?
-
Выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\ipv6mons.dll');
DeleteFile('C:\WINDOWS\System32\mmrtkrnl.exe');
BC_ImportDeletedList;
BC_DeleteSVC('MMRTKRNL');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и повторите логи п.10 и 12 правил.
-
-
В AVZ выполнить скрипт
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\hblogon.dll','');
BC_ImportQuarantineList;
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.
После перезагрузки прислать карантин. Есть подозрение, что друзей "зверька" забыли.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
То PavelA - скрипт выполнил, тормозит система также.
То Bratez - скрипт выполнил, тормозит система также.
Логи выложил.
Очень жду ответа.
Последний раз редактировалось _geORge_; 03.04.2007 в 20:46.
%^*)(*&@$&%!)(&@$&^(@#&^*^%~$%!&^(^
Это у меня в голове вирус завелся.
Кто поможет?
-
1. hblogon.dll так и не увидел. Надо поискать в AVZ, добавить в карантин и прислать.
2. выполнить скрипт Bratez в SafeMode ( F8 ). Все, что удаляли, живо и невредимо. Перед выполнением отключить сканер Nod32.
3. Symantec в логах - что это такое? Если два антивируса, то это тормоза еще те.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-