Printable View
Здравствуйте
Проблема такая:
при проверке CureIT выдает ndis.sys инфицирован Backdoor.Bulknet.507 по адресам C:\Windows\system32\dllcache и C:\Windows\system32\drivers и пишет, что будет исцелен после перезагрузке, но не исцеляет.
Логи прикрепил.
Заранее благодарен!
Пофиксите в HijackThis:
[code]
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - DctMapping - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\csrss.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\juzjf.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\juzjf.exe');
DeleteFile('C:\Documents and Settings\Admin\csrss.exe');
WhatService('alzpf');
WhatService('wxlbtl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
SaveLog(GetAVZDirectory+'whatservice.log');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=96134[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Также прикрепите к теме файл [I]whatservice.log[/I] из папки с AVZ.
карантин отослал..
Логи прикрепил
1. Файл [B]C:\WINDOWS\system32\Drivers\NDIS.sys[/B] необходимо заменить чистым из дистрибутива или из здоровой системы той же версии. Замену можно выпонить в безопасном режиме, или с помощью консоли восстановления, или с помощью Live CD.
2. Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fwjrymkv.dll');
DeleteFile('C:\WINDOWS\system32\uadezcaw.dll');
ExecuteSysClean;
BC_ServiceKill('alzpf');
BC_ServiceKill('wxlbtl');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
3. Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
заменил...в безопасном режиме отчего то не выходило заменить на файл из здоровой системы, пришлось просто удалить его, а в обычном режиме поставить чистый файл NDYS.sys
лог приложил
Что с проблемами?
все нормализовалось
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ndis.sys - [B]Virus.Win32.Protector.f[/B] ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )[/LIST][/LIST]