-
Junior Member
- Вес репутации
- 62
ntndis.exe & 3 экзешника на рабочем столе
Здравствуйте Уважаемые!
утром при включении компьютера выскочило сообщение об ошибке
"не найден файл по пути C:\windows\system32\driver\ntndis.exe "
и на рабочем столе появились три экзешника 1.exe, 2.exe, 3.exe
свежескачанный CureIt в них ничего не нашел, но они все равно потерты
сообщение об ошибке теперь при каждой загрузке windows,
остались ли еще какие следы вируса кроме записи в реестре о загрузке ntndis.exe
и наверное зря я потер 3 экзешника, выяснить что за зверь был теперь не удастся?
Спасибо
Последний раз редактировалось beh01der; 19.06.2011 в 15:00.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
// BC_DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
ExecuteSysClean;
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
end.
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
в карантин все что там есть? или только то, что относится к ntndis
там еще 2 файла есть
при выполнении скрипта в AVZ были красные сточки, вроде он не мог получить доступ к ntndis
и в карантине размер ntndis'ов нулевой
-
Сообщение от
beh01der
в карантин все что там есть? или только то, что относится к ntndis
там еще 2 файла есть
при выполнении скрипта в AVZ были красные сточки, вроде он не мог получить доступ к ntndis
и в карантине размер ntndis'ов нулевой
Ошибся я с написанием скрипта. Извиняйте
Присылайте то, что попало. Проверим на всякий случай.
Затем:
Загрузиться в Safe Mode ( F8 ).
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
ClearQuarantine();
QuarantineFile('Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
// BC_DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
end.
Если ntndis.exe найдется в карантине, то прислать.
Можно попробовать поискать руками в AVZ. Если найдется, то прислать.
В логе HJ профиксить строчку, где ntndis.exe присутствует.
Последний раз редактировалось PavelA; 15.06.2007 в 11:27.
Причина: Признал свою ошибку
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
Ошибся я с написанием скрипта. Извиняйте
Присылайте то, что попало. Проверим на всякий случай.
Файл сохранён как 070615_114508_virus_467243843d044.zip
Размер файла 1335368
MD5 f174ece293a5ee92c08d4bfdd4876374
При выполнении второго скрипта в AVZ были строки:
Ошибка карантина файла "Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "Explorer.exe C:\WINDOWS\system32\drivers\", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\system32\drivers\ntndis.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\system32\drivers\ntndis.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
карантин пустой
пробовал найти ntndis.exe и просто ntndis из AVZ - не находит
они есть на компьютере?
HijackThis профиксил строку с ntndis, ошибри при старте windows теперь нет
Последний раз редактировалось beh01der; 15.06.2007 в 12:24.
-
То, что в карантине - чистые файлы. Надо искать ntndis.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
1. Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe',);
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.sys',);
DeleteFile('C:\WINDOWS\drivers\ntndis.sys',);
BC_DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ntndis.sys');
BC_DeleteFile('C:\WINDOWS\drivers\ntndis.sys');
ExecuteSysClean;
BC_Activate;
end.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Alex_Goodwin
1. Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe',);
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.sys',);
DeleteFile('C:\WINDOWS\drivers\ntndis.sys',);
BC_DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ntndis.sys');
BC_DeleteFile('C:\WINDOWS\drivers\ntndis.sys');
ExecuteSysClean;
BC_Activate;
end.
сделал
нужно ли делать с помощью AVZ и HijackThis новые
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
и снова их прикреплять к сообщению, для проверки
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
Логи новые нужны.
сделано
Последний раз редактировалось beh01der; 19.06.2011 в 15:00.
-
Установите в АВЗ драйвер мониторинга AVZPM и сделайте новые логи АВЗ.
Последний раз редактировалось Alex_Goodwin; 15.06.2007 в 15:25.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Alex_Goodwin
Установите в АВЗ драйвер мониторинга AVZPM и сделайте новые логи АВЗ.
включаем драйвер мониторинга, перегружаемся, делаем логи,
потом можно удалить и выгрузить драйвер? я правильно понял?
в карантине те же два файла (которые уже есть в посланном перед этим virus.zip)
>Файл сохранён как 070615_114508_virus_467243843d044.zip
>Размер файла 1335368
>MD5 f174ece293a5ee92c08d4bfdd4876374
с подозрением на AdvWare.Win32.AutoSearch.b, ntndis там нет
Последний раз редактировалось beh01der; 19.06.2011 в 15:00.
-
Вроде все чисто, если будут какие-то подозрения, пишите в эту тему. Руткит похоже доктор снес. AVZPM можете удалять.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-