Здравсвуйте! NOD 32 обнаружил Win32/Protector.C virus в NDIS.sys.
Printable View
Здравсвуйте! NOD 32 обнаружил Win32/Protector.C virus в NDIS.sys.
Пофиксить в HiJack
[CODE]O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Иванов_М_А\reader_s.exe
[/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
QuarantineFile('C:\WINDOWS\System32\reader_s.exe','');
DeleteFile('C:\WINDOWS\System32\reader_s.exe');
QuarantineFile('C:\Documents and Settings\Иванов_М_А\reader_s.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\Documents and Settings\Иванов_М_А\reader_s.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','reader_s');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Файл [B]C:\WINDOWS\system32\Drivers\NDIS.sys[/B] заменить [URL="http://virusinfo.info/showthread.php?t=51654"]по такой методике[/URL] (но не из dllcache)
Сделайте новые логи
В консоли управления почему то ndis.sy_ не распаковывался...ошибку выдавал....но старый удалил...хотя не понял надо было это делать или нет?
в итоге востановил файл при помощи утилиты ndis.repair.utility
chknt32.exe - [B]Trojan-Spy.Win32.BZub.hhf[/B]
Пофиксить в HiJack
[code] O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\chknt32.exe
O4 - HKUS\S-1-5-21-1454471165-1897051121-1801674531-1003\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\chknt32.exe (User '?')
[/code]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
DeleteFile('C:\WINDOWS\system32\chknt32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Каратнин отправил.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('C:\Documents and Settings\Иванов_М_А\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Documents and Settings\Иванов_М_А\Application Data\AdSubscribe\AdSubscribe.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Карантин отослал!
Логи сделал!
Еще проблемы наблюдаются? В логах ничего плохого не увидел
Проблем вроде больше нет! Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\chknt32.exe - [B]Trojan-Spy.Win32.BZub.hhf[/B] ( DrWEB: Trojan.PWS.Webmonier.178, BitDefender: Trojan.Crypt.IU, AVAST4: Win32:Fasec [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]