Ndis.sys и вирусы

Здравствуйте!
У меня компьютер заболел чем-то похожим на описанное тут:
[URL]http://virusinfo.info/showthread.php?t=9945[/URL]
На С:\ создался файл cd1041.nls, а после следующих перезагрузок и другие cd****.nls. Файл c:\windows\system32\ndis.sys оказался новым, измененным и большим. Попробовал сделать, как описано в указанной выше ветке форума. Не помогло: hijackthis не показывал такой строчки про services.exe, как было там. А файл ndis.sys не удалялся - он САМ восстанавливался с новой датой изменения и еще большим размером (хотя восстановление системы отключено).
Файрвол говорит, что проводник explorer.exe пытается вылезать в интернет, но файл проводника неизмененнный. И что файл c:\windows\system32\koos.exe некий появился и тоже куда-то лазит, но его удаление ничего не дало.
Сделал все требуемые логи (это заняло 3 часа).
ПОмогите, пожалуйста! Уже не знаю, что и делать ещё. Наверное, тут еще и следы прошлых недолеченных гадостей остались, что ли.

начните выполнять правила точно, тогда займёт 20 минут ;)
Скачать последнею версию AVZ и отключить все проги в трее включая старый никому не нужный симантек antivirus.

На всякий случай написал скрипт по старым логам.
Запустите AVZ и выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\d.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\System32\systkw.dll','');
QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
QuarantineFile('\??\C:\fwdrv.sys','');
QuarantineFile('NDIS.sys','');
DeleteFile('c:\*.nls');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\csrss.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
BC_Activate;
end.[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил .

2. Скачайте утилиту восстановления ndis.sys: [URL="http://virusinfo.info/attachment.php?attachmentid=10580"]Вложение 10580[/URL]

3. Перезагрузитесь в безопасный режим, запустите утилиту и нажмите кнопку Patch.

4. После перезагрузки сделайте новые логи AVZ и HijackThis .

Установите на Windows Service Pack 2.

Спасибо.
Извините, я, наверное, чего-то недопонимаю, но я скачал новый AVZ, обновил его, отключил полностью и совсем все-все программы и стал заново делать стандартный скрипт - через полчаса он мне стал показывать снова, что осталось еще 50 минут. Может, с этим все-таки что-то не так?
Поэтому стал делать, как написал PavelA.
Карантин загрузил.
Утилиту запустил.
В п. 4 PavelA не написал собственно скрипт, который надо выполнить. Напишите, пожалуйста!
Сейчас буду пробовать снова сделать логи, просто боюсь, что это может опять затянуться.
И глупый вопрос: что значит "установите на Windows Service pack 2" - и когда это делать?

речь шла об этом скрипте :
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\d.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\System32\systkw.dll','');
QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
QuarantineFile('\??\C:\fwdrv.sys','');
QuarantineFile('NDIS.sys','');
DeleteFile('c:\*.nls');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\csrss.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
BC_Activate;
end.[/code]

[url]http://www.microsoft.com/rus/windowsxp/sp2/default.mspx[/url] - sp2
когда - чем быстрее тем лучше для вас ;) однако, я бы рекомендовал полностью снести систему и поставить уже XP с интегрированным SP2 во избежания лишних багов.

Спасибо, про Windows SP2 понял. Поставить по ссылке - поставлю. К сожалению, для переустановки винды сейчас не лучший момент.
В сообщении PavelA изначально было в пункте 4 опять запустить некий скрипт, а сейчас уже этого нет. Значит, после скрипта и утилиты - уже должно что-то улучшиться? У меня после этого ndis.sys обновился, стал опять небольшого размера (типа 170 кб), но файрвол фиксировал, что проводник по-прежнему пытается куда-то залезть.
Сейчас пишу с другого компа. Старый - выполняет стандартный скрипт AVZ, и опять та же история: 50 минут уже прошло, и он пишет, что осталось 1ч.40мин. Не знаю, что я теперь неправильно делаю: все обновил, все программы отключил...
А что-то про карантин уже можно сказать, пока логи, так сказать, готовятся, или нет?

Карантин пустой. Файлы в него не попали. Будем надеяться, что в новых логах их уже не будет.

[quote]после скрипта и утилиты - уже должно что-то улучшиться?[/quote]
Если перезагрузить компьютер, то есть шанс что да.
[quote]Не знаю, что я теперь неправильно делаю: все обновил, все программы отключил...[/quote]
В настройках IE Временные файлы должны занимать не более 100 МБт.
Перед запуском скриптов их вообще лучше очистить.
Также очистить папку Temp

Посмортите, что пишет AVZ в строке состояния во время выполнения скриптов и узнаете из-за чего так долго.

Обнадежили!
Жаль, что у Вас в правилах нигде не написано, что лучше очистить временные файлы...
Я смотрю на строку состояния: он час "сидел" как раз на temporary internet files.
Сейчас вроде осталось 19 минут, пишет - надеюсь, скоро пришлю логи

Вот новые логи.
Помогло?
Файрвол опять сказал, что проводник куда-то лезет:(

Вдогонку...
Антивирус говорит, что нашел и отправил в свой карантин файл c:\windows\system32\totour.exe
Делать что-то отсюда: [URL]http://virusinfo.info/showthread.php?t=8783[/URL]?
Или что посоветуете?

На этот раз в защищенном режиме (Safe Mode)

[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\d.exe','');
QuarantineFile('c:\windows\system32\totour.exe','');
QuarantineFile('C:\WINDOWS\System32\systkw.dll','');
BC_DeleteFile('c:\cd1041.nls');
ExecuteSysClean;
BC_ImportQuarantineList;
RebootWindows(true);
ExecuteSysClean;
end.[/CODE]

После перезагрузки прислать карантин. Можно предварительно посмотреть, есть ли там файлы.
Поискать через AVZ C:\WINDOWS\d.exe, интересно что это таке? Если найдется прислать.

Временные файлы можно почистить CCleaner.

Чего-то, по-моему, не сработало.
Загрузился в безопасном режиме, запустил скрипт в avz. И буквально через 3 секунды комп стал перегружаться; я даже не успел посмотреть, что там он в строке написал. Перегрузился - а в карантине пусто, ничего нового не появилось. Поиск d.exe в avz тоже ничего не дал, а искать d*.exe есть смысле, наверное, много линего вылезет?
Может, можно попробовать не в safe mode этот скрипт, или нет?
И еще странно. Я удалил временные файлы эксплорера, а во время поиска файла avz опять очень долго проверял папки в temporary internet files.
И еще при загрузке (если это имеет значение) вылезла такая ошибка:
microsoft visual c++ runtime library
runtime error
program c:\program files\HP\hpcoretech\comp\hptskmgr.exe
abnormal program termination
(это от сканера программа)

Чего теперь можно сделать попробовать, подскажите?

Долго смотрел вашу тему и логи. Мысли такие:
1. Вероятно d.exe на самом деле отсутствует.
2. Что за uninstall.exe у вас в папке Автозагрузка?
3. Надо выцеплять systkw.dll и fwdrv.sys - явные зловреды.

Давайте попробуем так:

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\d.exe
O18 - Protocol: csnet - {FF3EFE67-7569-11D2-9F80-00104B107C97} - C:\Program Files\Consistent Software\NormaCS 1.0 Setup\pph_demo_net.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)
[/code]
и выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\totour.exe','');
QuarantineFile('C:\WINDOWS\System32\systkw.dll','');
QuarantineFile('C:\fwdrv.sys','');
BC_ImportQuarantineList;
BC_QrSvc('fwdrv.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Надеюсь, в карантин что-то попадет - пришлите по правилам.
И uninstall.exe туда же закиньте, если не знаете что это.

Большое спасибо!
Что-то начинает вырисовываться... Я стал искать файл uninstall.exe программой avz - и она почему-то его не нашла. Хотя я просто открыл и нашел его проводником тут: c:\documents and settings\IIM\главное меню\программы\автозагрузка\uninstall.exe. А AVZ почему-то его там не находит. Его можно как-то в карантин поместить, если он не находится. Я попробовал - у меня получилось его удалить в корзину. И вот что важно: он создан как раз тогда, когда вся эта гадость у меня полезла (сегодня в 0.18). Что с ним сделать теперь? (Я что-то не разобрался, можно как-то вручную просто файл в карантин avz поместить).
В Hijack пофиксил.
Скрипт запустил.
Что попало в карантин - прислал.
Но как-то я даже увидел свет в конце туннеля, мне кажется:)
Что теперь нужно дальше делать?

uninstall.exe руками архивируйте в ZIP с паролем virus отсылаете по правилам как карантин.

Заархивировал его в Uninstall.zip с паролем virus и прислал.

В карантине опять одни *.ini с кодом 34 - обычно это значит "файла нет".
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\totour.exe');
DeleteFile('C:\WINDOWS\System32\systkw.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('fwdrv.sys');
BC_DeleteFile('C:\fwdrv.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
и осталось глянуть, что за uninstall.

Это SpamTool.Win32.Agent.u, родной брат того ndis.sys!
Корзину очистите и выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\IIM\Главное меню\Программы\Автозагрузка\Unistall.exe');
BC_DeleteFile('C:\Documents and Settings\IIM\Главное меню\Программы\Автозагрузка\Unistall.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится, входите в безопасный, снова применяйте утилиту восстановления ndis.sys, потом в нормальный и новые логи в студию.