Проблемы с КриптоПро CSP

Printable View

17.06.2009, 09:39
Hawk

Вложений: 3

Проблемы с КриптоПро CSP

Помогите, на компе бухгалтерская программа и зарплата. Бухгалтер полазила в инете и после этого при запуске любой программы появляется табличка с КриптоПро CSP (вставьте ключевой носитель) два раза нажимаешь отмена и она пропадает. При следующем запуске любой программы тоже самое. Сама КриптоПро CSP у нас установлена, но раньше такого небыло, чтобы она сама по себе включалась.
17.06.2009, 14:57
Hawk

Ну кто-нибудь мне ответит?
06.07.2009, 15:57
Hawk

Проверьте логи плиз!!!

Помогите, вылечил крипто-про(с помощью ZBotKiller_v2), но такое ощущение что комп постоянно качает траффик из инета. Проверьте логи пожалуйста. Вложенные файлы в теме "Проблемы с КриптоПро CSP".
06.07.2009, 16:39
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в [U]Hijackthis[/U]:[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в [U]AVZ[/U]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digiwet.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\reader_s.exe','');
DeleteFile('C:\WINDOWS\System32\reader_s.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('digiwet.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
Сделайте новые логи по правилам.
08.07.2009, 15:54
Hawk

Вложений: 6

Закачал карантин и новые логи, но трафик все равно уходит. Каждый день по 100мб. В сети 10 компов, как определить с какого уходит. Эти логи с самого подозрительного компа.
09.07.2009, 08:49
Hawk

cure/it не может пройти полную проверку, выдает синий экран
09.07.2009, 13:43
DefesT

Сделайте новые логи с включенным [B]AVZPM[/B] (включите драйвер расширенного мониторинга процесса)
09.07.2009, 18:15
Hawk

Вложений: 3

Включил AVZPM и проверил. Логи выставил. При включенном компе, постоянно приходят и отправляются пакеты в большом количестве (за пол часа 30000 пакетов)
09.07.2009, 22:11
thyrex

Вот Ваш виновник (предварительный диагноз: [B]Trojan.NtRootKit.2670[/B] - по DrWeb, [B]Virus.Win32.Protector.a[/B] - по Касперскому)

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
10.07.2009, 13:27
Hawk

Скинул карантин, за прошлый день опять 160 мб трафика
10.07.2009, 15:16
thyrex

NDIS.sys - [B]Virus.Win32.Protector.a[/B]

Диск, с которого устанавливалась Windows на этом компьютере имеется?
10.07.2009, 16:14
Hawk

Имеется, а что там вирус? Может сделать так?
Находим дистрибутив Windows.
Копируем из папки i386 файл NDIS.SY_ к себе в любую папку
Переименовываем файл в NDIS.ZIP и распаковываем из него оригинальный NDIS.SYS
Удаляем зараженный ndis.sys из C:\WINDOWS\System32\Drivers.
Копируем оригинальный, заранее подготовленный NDIS.SYS в папку C:\WINDOWS\System32\Drivers.
Проверяем диски на вирусы, тем самым вычищая остатки в виде cpXXXX.nls
Перезагружаем компьютер

[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]

Или можно как-нибудь попроще

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

А зачем дистрибутив, а с другого компа нельзя скопировать?
10.07.2009, 16:29
thyrex

В безопасном режиме
[CODE]expand x:\I386\ndis.sy_ C:\WINDOWS\system32\drivers\ndis.sys[/CODE], где х - буква уст. диска CD

С другого компьютера, на котором система ставилась с этого же диска? Попробуйте, но тоже в безопасном режиме

А cpXXXX.nls зачем?
10.07.2009, 17:18
Hawk

а почему именно с этого диска? А с другого дистрибутива нельзя? Или просто скопировать с другого компьютера? Просто не очень помню, с какого устанавливал.
10.07.2009, 17:24
thyrex

Если система лицензионная, то можно с любой такой системы брать с [B]одинаковым[/B] Сервис-паком.
Если сборка, то кто его знает, повезет или нет
13.07.2009, 09:05
Hawk

Скриптом в безопасном не получилось выдал ошибку. Загрузил систему с загрузочного диска и там поменял. Теперь посмотрим.
13.07.2009, 12:45
thyrex

[QUOTE='Hawk;430980']Скриптом в безопасном не получилось выдал ошибку[/QUOTE]Это был не скрипт, а инструкция, которую нужно было выполнить в командной строке
13.07.2009, 15:49
Hawk

в строке тоже пробовал, тоже не получилось. Он даже вручную не записывался в безопасном. Записал на флэшку с другого компа, стал переписывать на этот и нифига (диск защищен от записи) Только с помощью загрузочного диска. Но в любом случае большое спасибо.
13.07.2009, 18:06
Rene-gad

Команду нужно в [URL="http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=13&y=12"]консоли восстановления[/URL] выполнять, в безопасном не получится :)
14.07.2009, 18:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\ndis.sys - [B]Virus.Win32.Protector.a[/B] ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )[/LIST][/LIST]