Показано с 1 по 20 из 20.

Вирус в NDIS.SYS, много качает из интернета (заявка № 53101)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    46
    Вес репутации
    55

    Exclamation Вирус в NDIS.SYS, много качает из интернета

    Здравствуйте! У меня такая проблема: после каждого обновления NODa выскакивает такое сообщение:

    Но удалить файл NDIS.SYS невозможно. Сканировался компьютер несколько раз NODом и программой Malwarebytes' Anti-Malware, но они ничего не находят.
    В диспетчере задач появляется два лишних процесса svchost.ехе, после отключения которых больше не происходит ненужная закачка из Интернета.
    Все логи сделаны.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\SERVICES.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\QSQTQSTO.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\xzqg.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\fddaurmb.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\b73287ef.sys','');
     QuarantineFile('C:\WINDOWS\system32\uscsvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\xzqg.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\QSQTQSTO.sys');
     DeleteFile('C:\WINDOWS\SERVICES.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин через красную ссылку.
    Файл NDIS.SYS надо будет заменить с дистрибутива через консоль восстановления.

    После всего этого пролечится по теме http://virusinfo.info/showthread.php?t=43700
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    46
    Вес репутации
    55
    Ваш скрипт выполнен.
    Сделаны новые логи.
    Карантин отправлен (правда, не получилось установить пароль).

    Что касается файла NDIS.SYS, то у меня на данный момент нет дистрибутива. Попробую достать в ближайшее время.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Пароль AVZ ставит сама, если через нее карантин паковали.
    Без замены NDIS не вылечится.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    46
    Вес репутации
    55
    Не могу никак найти дистрибутив. Может Вы можете мне прислать файл NDIS? Или так нельзя сделать?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    на file.net поищи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    46
    Вес репутации
    55
    Извините, Павел, за мою тупость, но я на file.net не могу разобраться, а те ссылки, которые я там нажимаю, блокируются НОДом как троян. Может Вы мне кинете ссылочку, откуда скачать, если Вам не трудно?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    http://www.dynamiclink.nl/htmfiles/r.../info_n/23.htm
    там только надо выбрать для своей версии ХР
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    46
    Вес репутации
    55
    Скачала по ссылке DriverCure Installer, но там просят сначала зарегистрировать программу за $29.97 (((

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    извините не проверил, на работе запарка.

    В папке dllcache поищите ndis.sys. Если найдется, то сравните размер.
    Далее надо будет из dllcashe перенести в корневой каталог,
    а потом уже в консоли восстановления заменить.
    Последний раз редактировалось PavelA; 28.08.2009 в 12:34.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    46
    Вес репутации
    55
    Подскажите чайнику, как перенести файл в корневой каталог.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Корень диска это C:\. Копировать explorer(правая клавиша мыши, копировать) , far (F5), total Commander (F5)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    ndis.sys в папке dllcache также заражается. Поэтому такой вариант неприемлем
    Последний раз редактировалось thyrex; 28.08.2009 в 15:14.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Значит, надо искать или файл, или дистрибутив. От старых зверей была лечилка, но боюсь от новых она не сработает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Здесь я выкладывал нужный файл в заархивированном виде. Скачиваете, распаковываете куда-нибудь и заменяете с консоли восстановления или LiveCD
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    46
    Вес репутации
    55
    А без консоли восстановления можно файлы заменить? Просто установочного диска у меня нет да я и не умею пользоваться консолью.

    Добавлено через 1 час 42 минуты

    Цитата Сообщение от thyrex Посмотреть сообщение
    Здесь я выкладывал нужный файл в заархивированном виде. Скачиваете, распаковываете куда-нибудь и заменяете с консоли восстановления или LiveCD
    Архив не распаковывается. Пишет: "Невозможно создать NDIS.SYS. Отказано в доступе."
    Последний раз редактировалось galsi; 29.08.2009 в 00:11. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Куда распаковываете?

  19. #18
    Junior Member Репутация
    Регистрация
    13.05.2009
    Сообщений
    46
    Вес репутации
    55
    И "в текущую папку", и в корневой каталог C, и в D, везде пишет одно и то же.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от galsi Посмотреть сообщение
    А без консоли восстановления можно файлы заменить?
    Нет.
    Просто установочного диска у меня нет да я и не умею пользоваться консолью.
    Найдите Live CD (Bart PE или Knoppix) или сделайте их на чистой машине.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.b ( DrWEB: Trojan.NtRootKit.2912, BitDefender: Rootkit.19832, NOD32: Win32/Protector.C virus, AVAST4: Win32:Cutwail-J )
      2. c:\windows\system32\uscsvc.exe - Trojan-Clicker.Win32.Delf.cpb


  • Уважаемый(ая) galsi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус в C:\WINDOWS\system32\drivers\ndis.sys
      От Bonifan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.10.2010, 13:27
    2. Вирус virus.win32.protector.f в файле Ndis.sys (заявка №25678)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 19.07.2010, 03:00
    3. WinXP Nod32 вирус в NDIS.SYS
      От Sergeika в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.08.2009, 11:43
    4. Ответов: 1
      Последнее сообщение: 21.09.2008, 17:34
    5. руткит или вирус, проблемы с ndis.sys и др
      От _geORge_ в разделе Помогите!
      Ответов: 41
      Последнее сообщение: 04.04.2007, 22:35

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00558 seconds with 19 queries