Непонятно, чем заражено

Printable View

26.02.2009, 09:25
a_deep

Непонятно, чем заражено

после подключения к интернету (изпользуется диал-ап соединение через data-3gmodem) системные файлы начинают лезть на непонятно какие сайты и забивают весь канал. То, что мне выдал netstat, прилагаю. Проверка всевозможными антивирусами этих файлов ничего не дала.
До этого, машина была заражена Vinrut, NTRootKit, Agent.NVL, но спаренными усилиями КюрИт и Нод32 зараза была излечена.
Жду советов,
Спасибо :)
26.02.2009, 09:36
Bratez

[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/QUOTE]
Ваша система поражена файловым вирусом.
Рекомендации по лечению здесь:
[url]http://virusinfo.info/showthread.php?t=15927[/url].

Потом скачайте заново AVZ и HijackThis, обновите базы AVZ,
пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
[/code]
перезагрузите компьютер и сделайте логи еще раз.
27.02.2009, 01:08
a_deep

собсно, вот. по-моему, ничего не помогло :(. Оно как забивало канал, так и забивает. Лечился CureIt'ом, записанным на болванку. Завтра попробую все тоже самое, но с LiveCD
27.02.2009, 02:37
Bratez

Не нужно LiveCD, теперь все понятно. Файлового вируса больше нет.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=40504[/url]).

У вас подменен драйвер ndis.sys. Надо восстановить его из дистрибутива или скопировать из здоровой системы. Замену производите только в безопасном режиме.

Сделайте новые логи (только п.2 и 3 раздела Диагностика).
27.02.2009, 10:53
a_deep

О как повернулась ситуевина. Доберусь до дома - сделаю.
Вопрос: скопировать ndis.sys ДО или ПОСЛЕ выполнения скрипта авз4?
И небольшая просьба - не могли бы Вы его (ndis.sys) выложить сюда? Ибо твердо не уверен, нет ли заразы за той машиной, на которой сейчас сижу.
Заранее спасибо.

З.Ы. До конца не разобрался со скриптами в авз4. Когда выкладывал первый раз, они были выполнены практически моментально. Во второй же раз довольно таки долго авз сканировала систему. что я делаю не так? :)
27.02.2009, 15:38
Bratez

Замену ndis.sys делать [B]после [/B]скрипта.
27.02.2009, 16:38
a_deep

/me неистово бьеццо в поклонах

Спасибо, товарисчи!
27.02.2009, 16:43
Bratez

Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

И карантина вашего нет!
А вдруг это новая версия? Внесите свой вклад в наше правое дело! ;)
27.02.2009, 23:37
a_deep

карантина нет и логов, ибо я только домой добрался :) а благодарности за помощь приношу:)
однако, следующая проблема.
ndis.sys, присланный Вами находится либо в запароленном архиве, либо битый, ибо при попытке извлечь с помощью Rar'a пишет "Отказано в доступе", при использовании стандартного распаковщика винды - просит пароль. В смятении я...
27.02.2009, 23:40
Гриша

Архив рабочий...
27.02.2009, 23:44
a_deep

без понятия... скачивал несколько раз, пробовал вытащить из архива в безопасном режиме и обычном. не получается. можете ли скинуть его не в архиве?
27.02.2009, 23:46
Гриша

[url]http://depositfiles.com/files/efhmiapwu[/url]
28.02.2009, 01:00
a_deep

[B]Гриша[/B], спасибо
не дает доступа для записи файла. Даже при закачке из интернета, если имя файла "ndis.sys" - не закачивает, если же переименовать - то нормально, однако в безопасном режиме не дает ни заменить исходник, ни переименовать.
Как быть в такой ситуации?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

ага, нашел - [url]http://virusinfo.info/showpost.php?p=96020&postcount=9[/url]. щас я его....

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

никак не могу убить этот ndis.sys... :(

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

/me ушел в перестановку винды. карантины скинул
28.02.2009, 02:41
Bratez

Зачем переустановка?! Загрузите консоль восстановления и замените этот ndis.sys из дистрибутива. Делов на 5 минут!
28.02.2009, 03:11
a_deep

мы не ищем легких путей © :)
переставил, все работает как часы.
подозрения на то, что вирус как то пролез через интернет эксплорер.
как там карантин?
01.03.2009, 03:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]