Trojan.Golgun(по симантеку). конфликт сетевых драйверов. Синий эран в

На компьютере в бухгалтерии (переустановка кране не желательна, проблема в наличии стороннего софта для установки которого надо вызывать специалистов) симантек корпоратив 10-ый отловил в файле c:\windows\system32\drivers\ndis.sys вирус Trojan.Golgun.ХХХ (ХХХ- это дополинтельная буква в названии вируса, букву не помню, образец зараженного ndis.sys сохранился) Обнаружив - естессно его прибил. По симантековским описаниям, все что образовывалось в системе вместе с вирусом, просмотрел. Никаких явных признаков присутствия вируса либо его остатков не обнаружено. Последствия: воспользовался утилитой с сайта для восстановления ndis.sys; система при загрузке в нормальном режиме и в защищенном с поддержкой сетевых драйверов уходит в синий экран. В защищенном грузится нормально. После удаления ndis.sys - нормально грузится в обычном режиме. Что странно, в списке устройств есть порядка 6 устройств непонятного назначения которые удалит не возможно. Комп отвечает - "возможно они необходимы для загрузки системы". Утройства типа: Минипорт WAN, фильтр минипорта WAN, кабельный модем для прямого подключения и т.п. Допускаю что они сели вместе с банк-клиентами. Но уверенности в этом нет, так как изначально систему устанавливал не я.

Вопрос: можно ли восстановить систему? имеет смысл заморачиваться и готовить логи и прочее согласно интрукции или проще всетаки переустановить систему?

P/S пожалуйста не надо молча ругаться "Выполните правила". Процесс этот не быстрый, а комп хотят в работу по быстрому. Если ответ на вопрос - да. Выполню все по инструкции.

[QUOTE]можно ли восстановить систему? имеет смысл заморачиваться и готовить логи [/QUOTE]
Можно. Имеет.
[QUOTE]пожалуйста не надо молча ругаться "Выполните правила". [/QUOTE]
Молча не будем ;) Выполните правила! ;)

Файл сохранён как070629_155520_virus_4684f328ba26a.zipРазмер файла606MD5dad92c3658eac6f27be27622566e41a4

Выполнил правила.

Один файлик и то помоему с флешки с автоматичесим запуском тотал коммандера.

Уже не первый раз на форуме, пора бы уже быть внимательным и не присоединять не нужных файлов к теме.

1. ndis.sys нельзя просто удалять, а следует заменить на оригинальный.
Воспользуйтесь [url=http://virusinfo.info/attachment.php?attachmentid=10580]патчем [/url] для востановления ndis.sys, и перегрузите систему.



2. думаю возможный виновник вот этот драйвер :system32\drivers\pfc.sys

Постараюсь больше не косячить :)
Как первое впечатление от логов?
Я пока систему ковыряю, пытаюсь драйвера с другого компа перелить на эти устройства. правда где-то тут была информация - что оно не очень помогает - но попытка не пытка.
-----------------------
попытка с заменой дрйверов не удалась
результат тот же: синий экран в нормальном режиме :(

[QUOTE]Я пока систему ковыряю,...
попытка с заменой дрйверов не удалась[/QUOTE]
Если уж обратились за помощью, самодеятельность надо прекратить.
Загрузитесь в безопасный режим, запустите патч, указанный в сообщении [B]drongo[/B], и нажмите кнопку [B]Patch[/B].
Если после этого проблема запуска в нормальном режиме останется,
сделайте в безопасном режиме лог, как написано [URL="http://virusinfo.info/showthread.php?t=10387"]тут[/URL].

применил. результат - синий экран.
новый лог тут

я отползаю с работы. на форум загляну из дома. комп будет в доступе в понедельник. с собой логи и копия битого ndis.sys. офис закрывается. толи хорошо толи плохо. вроде как обратился и бросил на полдороге...

Вопрос: в логах есть ссылка на некий файл с названием "рабочий обмен" exe'шник по-моему. что это может быть? вирустотал ничего не обнаружил в нем. и он каждый раз разного размера. при каждой загрузке - разного размера.

в догонку: присоветуйте какой антивир развернуть в сетке на 20 машин с исой и ексченчем.

может того? грохнуть system32\drivers\pfc.sys?
прислать могу его на всякий пожарный.

1. Выполните скрипт в AVZ:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\1e86~1\locals~1\temp\рабочийобмен.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\pfc.sys','');
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.

Ваша сетевая карта - интегрированная от NVidia?

Сорри за долгое молчание. Аврия за аварией. Блин. Как прклятие какое-то. Купил свежую память и та похож битая. Бухам поставил другой канпустер - проблема стала не такой острой. Выполнил скрипт. "рабочий обмен.exe" не попало в него. можно поппытать снести опять ndis.sys и выполнить скрипт в нормальном режиме. сейчас попробуйю. пока вот. но, насколько я помню искомый "обмен" довольно крупный, около метра

Пора банить тебя. Уже предупреждали - ничего лишнего к темам не прикреплять.

Ребят, не надо банить. Больше не буду. Забегался... Правила на стенку повесил. Прикнопил. Все буду делать как надо :)

Файл сохранён как 070703_164350_virus_468a44866ecad.zip
Размер файла 6677
MD5 693d0b70851bdc092859a4d9ce23e157

Вот оно

[QUOTE]насколько я помню искомый "обмен" довольно крупный, около метра[/QUOTE]
А что это вообще такое? Если правда что-то ваше рабочее, то присылать его не надо. [B]pfc.sys [/B] в карантине чистый.

понятия не имею что это. отключил ссылку в автозапуске на него. он одно время все равно появлялся. с разной длинной по пути который даже не скрыт, а просто не виден. путь и сейчас доступен - если его в адресную строку втавить. но там в темпе ничего нет. и не появляется. сам файлик я на вирустотал гонял - сказали чисто.

то что чистый - понятно. по крайней мере в нем есть цыфровая подпись. пошарился в сети - говорят он ставится с какойто версией винампа. вносит некоторые глюки в работу CD привода, изначальнол предназначен для низкоуровневого чтения(грабления) дисков. но проблема остается - синий экран если ndis.sys на нужном месте.

по поводу размера: я его карантинил, потому и помню. а не потому что наш.

возможно о кнофликтных драйверах - это не совсем сюда, но проявилось после удаления вируса - потому и обратился. там выше спрашивали по поводу материнки и сетевухи. через минут 10 - выложу в следующий пост названия от Everesta. Может поможет

Сетевая карта у вас от nVidia?
Софт сетевой от nVidia стоит?

Значит так:
материнка - Gigabyte GA-8IPE1000-G v4 (5 PCI, 1 AGP, 4 DDR DIMM, Audio, Gigabit LAN)
сетевуха - Realtek RTL8169/8110 Family Gigabit Ethernet NIC

соответственно драйвера могли быть изначально либо гигабайтовские либо с сайта реалтек.

когда я пытался переустановить сетевые устройства - поставил с реалтека

а это те доп устройства о которых я говорил

[ Сетевые платы / Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Минипорт планировщика пакетов ]

Свойства устройства:
Описание драйвера Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Минипорт планировщика пакетов
Дата драйвера 01.07.2001
Версия драйвера 5.1.2535.0
Поставщик драйвера Microsoft
INF-файл netpsa.inf
Аппаратный ID ms_pschedmp

[ Сетевые платы / Realtek RTL8169/8110 Family Gigabit Ethernet NIC ]

Свойства устройства:
Описание драйвера Realtek RTL8169/8110 Family Gigabit Ethernet NIC
Дата драйвера 12.02.2007
Версия драйвера 5.663.1212.2006
Поставщик драйвера Realtek Semiconductor Corp.
INF-файл oem3.inf
Аппаратный ID PCI\VEN_10EC&DEV_8169&SUBSYS_E0001458&REV_10
Сведения о размещении PCI шина 2, устройство 9, функция 0
PCI-устройство Realtek RTL8169/8110 Gigabit Ethernet Adapter

Ресурсы устройств:
IRQ 10
Память FB000000-FB0000FF
Порт A000-A0FF

[ Сетевые платы / Минипорт WAN (IP) - Минипорт планировщика пакетов ]

Свойства устройства:
Описание драйвера Минипорт WAN (IP) - Минипорт планировщика пакетов
Дата драйвера 01.07.2001
Версия драйвера 5.1.2535.0
Поставщик драйвера Microsoft
INF-файл netpsa.inf
Аппаратный ID ms_pschedmp

[ Сетевые платы / Минипорт WAN (IP) ]

Свойства устройства:
Описание драйвера Минипорт WAN (IP)
Аппаратный ID ms_ndiswanip

[ Сетевые платы / Минипорт WAN (L2TP) ]

Свойства устройства:
Описание драйвера Минипорт WAN (L2TP)
Аппаратный ID ms_l2tpminiport

[ Сетевые платы / Минипорт WAN (PPPoE) ]

Свойства устройства:
Описание драйвера Минипорт WAN (PPPoE)
Аппаратный ID ms_pppoeminiport

[ Сетевые платы / Минипорт WAN (PPTP) ]

Свойства устройства:
Описание драйвера Минипорт WAN (PPTP)
Аппаратный ID ms_pptpminiport

[ Сетевые платы / Минипорт планировщика пакетов #2 ]

Свойства устройства:
Описание драйвера Минипорт планировщика пакетов #2
Дата драйвера 01.07.2001
Версия драйвера 5.1.2535.0
Поставщик драйвера Microsoft
INF-файл netpsa.inf
Аппаратный ID ms_pschedmp

[ Сетевые платы / Прямой параллельный порт ]

Свойства устройства:
Описание драйвера Прямой параллельный порт
Дата драйвера 01.07.2001
Версия драйвера 5.1.2535.0
Поставщик драйвера Microsoft
INF-файл netrasa.inf
Аппаратный ID ms_ptiminiport

сорри за несколько большой пост, но имхо подробность не помешает.

вот только думаю - попробовать скачать дрова с гигабайта и приткнуть. чичас проверю. а удаление pfc.sys - ситуацию не спасло. чичас обратно верну.
---------------------------------------
Маленькое дополнение: сообразил - от nVidia могут быть тока дрова видеокарты. Попробую их снести. На синем экране что-то на тему видеокарты было. И проверю заодно - nVidia они или мелкософт.

[QUOTE]Маленькое дополнение: сообразил - от nVidia могут быть тока дрова видеокарты. Попробую их снести. [/QUOTE]
Да не спешите, без самодеятельности, пожалуйста!

[size="1"][color="#666686"][B]Добавлено через 12 минут[/B][/color][/size]
Из этих самых "минипортов" ничего не удаляли?

Давайте попробуем так:
1. Запустите services.msc, найдите в списке службу от Nvidia (точное название не помню, у меня ATI) и сделайте ей тип запуска Disabled.
2. Выполните скрипт:
[code]
begin
BC_QrSvc('NvNdis');
BC_DeleteSvc('NvNdis');
BC_Activate;
RebootWindows(true);
end.[/code]
3. В безопасном режиме выполните патч восстановления ndis.sys и пробуйте нормальный режим.

скрипт в защищенном режиме выполнить с файлом ndis.sys лежащим на месте?
мы ожидаем, что после перезагрузки комп заведется в нормальном режиме?

из софта от nVidia был nVidia DVD decoder. т.к. в бухгалтерии оно не нужно - снес еще вчера.

"минипорты" в принципе! не удаляются. система отвечает что-то типа "невозможно удалить, возможно устройства нужны для загрузки системы"

[size="1"][color="#666686"][B]Добавлено через 51 минуту[/B][/color][/size]
скрипт выполнен. по прежнему синий экран. по команде:
net stop NvNdis
отвечает - такая служба не установлена.
выписал stop ошибку при загрузке в нормальном режиме
stop: 0x0000007E (0x0000005, 0x8059992D, 0xF898868C, 0xF8988388 )
может это как-то что-то подскажет

по поводу софта от nVidia - где-то видел утилиту помогающую вычитстить систему от драйверов этого производителя. Может быть ей воспользоваться?

[size="1"][color="#666686"][B]Добавлено через 27 минут[/B][/color][/size]
был тут:
[URL]http://support.microsoft.com/kb/330182[/URL]

жаль расшифровку кода в скобках не нашел.
попробую переместить все не микрософтовские драйвера.

так же там написано:
Если проблема связана с файлом Win32k.sys, возможно, она вызвана программой независимого производителя для удаленного управления. Для удаления службы и запуска компьютера используйте консоль восстановления, а затем удалите указанный файл системной службы.

Может быть похоже на правду по поводу удаленного управления. попробую так же эту рекомендацию. пожалуй сначала это а потом, если не поможет, по поводу всех остальных драйверов.

[size="1"][color="#666686"][B]Добавлено через 36 минут[/B][/color][/size]
Win32k.sys не при делах. Ошибка о конфликте драйверов возникает раньше чем система сваливается в синий экран с сообщением об отсутсвии менеджера сессий. Работаю дальше.

Прошу прощения за молчание. Долго не было возможности продолжить общение. В конечном итоге пришлось решить проблему переустановкой системы. Так-как стало вдруг "срочно срочно". Сейчас похожая проблема на другмо компьютере и опять в бухгалтерии. Синий экран. Safe mode не работает. ошибка stop: 0x00000007e если в количестве нулей не ошибся. Сначала слетела авторизация к локалке на этой машине. После перезагрузки вылез синий экран.
Буду тоже переставлять видимо.

Спасибо за отклики.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]