Win32.Agent.u-Win32/Spabot.Nac trojan

[PavelA]

C:\WINDOWS\DOWNLO~1\xscan53.ocx - попавший в карантин чистый.
Карантин, полученный после скрипта из мсж 9, получен не был.
Повторите скрипт + четвертой снизу строчкой вставьте
BC_LogFile(GetAVZDirectory + 'boot_clr.log');

Файл boot_clr.log приложите к сообщению

[ratat]

Да так оно и есть.Этот файл попал в карантин после выполнения первого скрипта-22.05.07,а после выполнения второго папка карантина от 23.05.07 пустая.Как быть дальше?

[PavelA]

Загрузиться в SafeMode и в AVZ поискать файлы, указанные в скрипте.
если найдутся, то есть кнопочка "Добавить в карантин" и загрузить.
Особенно C:\WINDOWS\WinSecurity\services.exe. По многочисленным признакам это зловред.

[ratat]

Сделал как велели.Нашелся(т.е успешно скарантинился)только ndis.sys и поставил в карантин.Отправляю.Services.exe у меня в двух папок System32 и Dllcashe и он почему то не заходить в карантин.Выдается сообщение об ошибке.А так скопировать его в другом месте можно и тогда скорее всего смогу и заархивировать.Делать этого?

[PavelA]

Services.exe у меня в двух папок System32 и Dllcashe и он почему то не заходить в карантин.Выдается сообщение об ошибке.А так скопировать его в другом месте можно и тогда скорее всего смогу и заархивировать.Делать этого?

Это правильные они не нужны.

Тогда просто профиксим строчки в Hijackthis.

Код:

O4 - HKLM\..\Run: [Windows] C:\WINDOWS\WinSecurity\services.exe
O4 - HKCU\..\Run: [_Windows] C:\WINDOWS\WinSecurity\services.exe

Присланный ndis.sys - подмененный. С ним придется немного помучаться.

[Muffler]

На счет ndis.sys.

Скачайте патч, приатаченый к этому сообщению.

Удалите драйвер ndis.sys вручную, или вот таким скриптом AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\drivers\ndis.sys');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки, пропадут все сетевые устройства и небудет интернета.

Воспользуйтесь патчем для востановления ndis.sys, и перегрузите систему.


Вложение 10580

[drongo]

Если после патча интернет не появиться, можно потом этими утилитами попытаться восстановить интернет :
http://cexx.org/lspfix.htm
http://www.iup.edu/house/resnet/WinsockXPFix.exe
их надо скачать, перед удалением ndsis.sys
P.S. если появиться , то конечно не надо !в любом случае утилиты полезные и должны быть в каждом компе

[ratat]

Пока что еще ничего не сделал из вышеперечисленных.Хотелось быть навести порядок.Если не трудно ответте:
1-Нужно ли до удаления ndis.sys пропачивать:
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\WinSecurity\services.exe
O4 - HKCU\..\Run: [_Windows] C:\WINDOWS\WinSecurity\services.exe
2-Удалить ndis.sys смогу и вручную и скриптом,но как лучьше?
3-Как лучьше восстановить ndis.sys путем использованием патча и/или утилит или взять из дистрибутива винды(этого я тоже смогу сделать точнее уже подготовился-распаковал как было указано в другой теме и чистый вариант у меня на другом диске)?
4-Существеут ли вариант не восстановления или неполного восстановления ndis.sys после удаления(т.е. есть вероятность переустановки винды)?

[drongo]

1.я бы сделал до .
2.не важно , но скриптом удобнее.
3.я же написал, только если не будет интернета после этого. Патчим обязательно! не важно чем заменить или патчем или с диска. Просто патчем удобнее и быстрее.

[Muffler]

1-Нужно ли до удаления ndis.sys пропачивать:
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\WinSecurity\services.exe
O4 - HKCU\..\Run: [_Windows] C:\WINDOWS\WinSecurity\services.exe

Да, пофиксите эти строки перед удалением ndis.

2-Удалить ndis.sys смогу и вручную и скриптом,но как лучьше?

Не имеет значения. Главное удалить.

3-Как лучьше восстановить ndis.sys путем использования патча и/или утилит или взять из дистрибутива винды(этого я тоже смогу сделать точнее уже подготовился-распаковал как было указано в другой теме и чистый вариант у меня на другом диске)?

На ваш выбор.
Патч был зделан для того, что бы облегчить жызнь пользователям раздела "Помогите!"

[ratat]

Спасибо за быстрых ответов!Пока я дополнял свои вопросы с пунктом 4 Вы успели уже ответить по остальным трем.Все таки 4-Существеут ли вариант не восстановления или неполного восстановления ndis.sys после удаления(т.е. есть вероятность переустановки винды)?

[Muffler]

Существеут ли вариант не восстановления или неполного восстановления ndis.sys после удаления(т.е. есть вероятность переустановки винды)?

Скорее всего нет.(90%)
На этом сайте, пока все востановления были удачными...

[ratat]

Еще раз спасибо!Как говориться завтра свежим умом займусь этим делом.Сегодня как то уже устал.Надеюсь на помощьи если понадобиться!

[ratat]

Если после патча интернет не появиться, можно потом этими утилитами попытаться восстановить интернет :
http://cexx.org/lspfix.htm
http://www.iup.edu/house/resnet/WinsockXPFix.exe
их надо скачать, перед удалением ndsis.sys
P.S. если появиться , то конечно не надо !в любом случае утилиты полезные и должны быть в каждом компе

Можно еще пару вопросов перед удаления ndis.sys?
1-Вторая ссылка не работает и не смог скачать Winsock-а.Lspfix достаточна в проведению мероприятия или все таки нужен будеть и Winsock?(я понимаю что лучьше бы до них не доходили,но если понадобяться)
2-В другой теме читал что парню с похожей проблеммой предложили фикс для реестра винды после замены ndis.sys.Он мне не нужен или лучьше скачать оттуда?
3-Как лучьше сделать самого удаления в безопасном режиме или в нормальном?
4-Сохранить удаленный ndis.sys "на всякий пожарный" до восстановления сетьи или нет смысла?

[PavelA]

http://www.softpedia.com/progDownloa...oad-15337.html
- ссылочка на WinSockFix

[ratat]

http://www.softpedia.com/progDownloa...oad-15337.html
- ссылочка на WinSockFix

Спасибо PavelA!Ссылка рабочая и скачал WinSockFix.
Если мои остальны вопросы кажуться глупыми то так и скажите,а если все таки есть смысл то пожалуйста ответте.
2-В другой теме читал что парню с похожей проблеммой предложили фикс для реестра винды после замены ndis.sys.Он мне не нужен или лучьше скачать оттуда?
3-Как лучьше сделать самого удаления в безопасном режиме или в нормальном?
4-Сохранить удаленный ndis.sys куда-то "на всякий пожарный" до восстановления сетьи или нет смысла?

[PavelA]

Если мои остальны вопросы кажуться глупыми то так и скажите,а если все таки есть смысл то пожалуйста ответте.
2-В другой теме читал что парню с похожей проблеммой предложили фикс для реестра винды после замены ndis.sys.Он мне не нужен или лучьше скачать оттуда?
3-Как лучьше сделать самого удаления в безопасном режиме или в нормальном?
4-Сохранить удаленный ndis.sys куда-то "на всякий пожарный" до восстановления сетьи или нет смысла?

2 - не нужно. Это есть тот же самый фикс
3 - думается в безопасном
4 - А зачем лишний зверь на компьютере ?

[ratat]

Все сделал.Удалил ndis в безопасном режиме.Перезагрузился.Как ожидалось небыло сетьи.Восстановил ndis путем патча-сеть появилась.Все в порядке вроде бы.WindowsExplorer заработал нормально(комп не перезагружаеться при использованием WE).В перечне процессов TaskManager-а есть процесс services.exe и заполняеть он 3292К оперативки.Прошу сообщите если это нормально(посколько его фиксил как было указано до удаления ndis).А вообще-то СЕРДЕЧНЬІЕ БЛАГОДАРНОСТЬИ ВСЕМ!(надо было с этого и начинать пост).Сделать заново логи и отправить на перепроверку?

[PavelA]

Конечно, неплохо бы посмотреть что в итоге получилось.

[ratat]

Конечно, неплохо бы посмотреть что в итоге получилось.

Сделал новые логи и вложил.Просьба сообщить если все в порядке.