Trojan.Golgun(по симантеку). конфликт сетевых драйверов. Синий эран в
На компьютере в бухгалтерии (переустановка кране не желательна, проблема в наличии стороннего софта для установки которого надо вызывать специалистов) симантек корпоратив 10-ый отловил в файле c:\windows\system32\drivers\ndis.sys вирус Trojan.Golgun.ХХХ (ХХХ- это дополинтельная буква в названии вируса, букву не помню, образец зараженного ndis.sys сохранился) Обнаружив - естессно его прибил. По симантековским описаниям, все что образовывалось в системе вместе с вирусом, просмотрел. Никаких явных признаков присутствия вируса либо его остатков не обнаружено. Последствия: воспользовался утилитой с сайта для восстановления ndis.sys; система при загрузке в нормальном режиме и в защищенном с поддержкой сетевых драйверов уходит в синий экран. В защищенном грузится нормально. После удаления ndis.sys - нормально грузится в обычном режиме. Что странно, в списке устройств есть порядка 6 устройств непонятного назначения которые удалит не возможно. Комп отвечает - "возможно они необходимы для загрузки системы". Утройства типа: Минипорт WAN, фильтр минипорта WAN, кабельный модем для прямого подключения и т.п. Допускаю что они сели вместе с банк-клиентами. Но уверенности в этом нет, так как изначально систему устанавливал не я.
Вопрос: можно ли восстановить систему? имеет смысл заморачиваться и готовить логи и прочее согласно интрукции или проще всетаки переустановить систему?
P/S пожалуйста не надо молча ругаться "Выполните правила". Процесс этот не быстрый, а комп хотят в работу по быстрому. Если ответ на вопрос - да. Выполню все по инструкции.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Постараюсь больше не косячить
Как первое впечатление от логов?
Я пока систему ковыряю, пытаюсь драйвера с другого компа перелить на эти устройства. правда где-то тут была информация - что оно не очень помогает - но попытка не пытка.
-----------------------
попытка с заменой дрйверов не удалась
результат тот же: синий экран в нормальном режиме
Я пока систему ковыряю,...
попытка с заменой дрйверов не удалась
Если уж обратились за помощью, самодеятельность надо прекратить.
Загрузитесь в безопасный режим, запустите патч, указанный в сообщении drongo, и нажмите кнопку Patch.
Если после этого проблема запуска в нормальном режиме останется,
сделайте в безопасном режиме лог, как написано тут.
я отползаю с работы. на форум загляну из дома. комп будет в доступе в понедельник. с собой логи и копия битого ndis.sys. офис закрывается. толи хорошо толи плохо. вроде как обратился и бросил на полдороге...
Вопрос: в логах есть ссылка на некий файл с названием "рабочий обмен" exe'шник по-моему. что это может быть? вирустотал ничего не обнаружил в нем. и он каждый раз разного размера. при каждой загрузке - разного размера.
в догонку: присоветуйте какой антивир развернуть в сетке на 20 машин с исой и ексченчем.
Последний раз редактировалось WhiteWolf; 29.06.2007 в 18:37.
Сорри за долгое молчание. Аврия за аварией. Блин. Как прклятие какое-то. Купил свежую память и та похож битая. Бухам поставил другой канпустер - проблема стала не такой острой. Выполнил скрипт. "рабочий обмен.exe" не попало в него. можно поппытать снести опять ndis.sys и выполнить скрипт в нормальном режиме. сейчас попробуйю. пока вот. но, насколько я помню искомый "обмен" довольно крупный, около метра
Последний раз редактировалось WhiteWolf; 03.07.2007 в 16:43.
понятия не имею что это. отключил ссылку в автозапуске на него. он одно время все равно появлялся. с разной длинной по пути который даже не скрыт, а просто не виден. путь и сейчас доступен - если его в адресную строку втавить. но там в темпе ничего нет. и не появляется. сам файлик я на вирустотал гонял - сказали чисто.
то что чистый - понятно. по крайней мере в нем есть цыфровая подпись. пошарился в сети - говорят он ставится с какойто версией винампа. вносит некоторые глюки в работу CD привода, изначальнол предназначен для низкоуровневого чтения(грабления) дисков. но проблема остается - синий экран если ndis.sys на нужном месте.
по поводу размера: я его карантинил, потому и помню. а не потому что наш.
возможно о кнофликтных драйверах - это не совсем сюда, но проявилось после удаления вируса - потому и обратился. там выше спрашивали по поводу материнки и сетевухи. через минут 10 - выложу в следующий пост названия от Everesta. Может поможет
Последний раз редактировалось WhiteWolf; 03.07.2007 в 17:41.
соответственно драйвера могли быть изначально либо гигабайтовские либо с сайта реалтек.
когда я пытался переустановить сетевые устройства - поставил с реалтека
а это те доп устройства о которых я говорил
[ Сетевые платы / Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Минипорт планировщика пакетов ]
Свойства устройства:
Описание драйвера Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Минипорт планировщика пакетов
Дата драйвера 01.07.2001
Версия драйвера 5.1.2535.0
Поставщик драйвера Microsoft
INF-файл netpsa.inf
Аппаратный ID ms_pschedmp
[ Сетевые платы / Realtek RTL8169/8110 Family Gigabit Ethernet NIC ]
Свойства устройства:
Описание драйвера Realtek RTL8169/8110 Family Gigabit Ethernet NIC
Дата драйвера 12.02.2007
Версия драйвера 5.663.1212.2006
Поставщик драйвера Realtek Semiconductor Corp.
INF-файл oem3.inf
Аппаратный ID PCI\VEN_10EC&DEV_8169&SUBSYS_E0001458&REV_10
Сведения о размещении PCI шина 2, устройство 9, функция 0
PCI-устройство Realtek RTL8169/8110 Gigabit Ethernet Adapter
Ресурсы устройств:
IRQ 10
Память FB000000-FB0000FF
Порт A000-A0FF
Свойства устройства:
Описание драйвера Минипорт WAN (IP) - Минипорт планировщика пакетов
Дата драйвера 01.07.2001
Версия драйвера 5.1.2535.0
Поставщик драйвера Microsoft
INF-файл netpsa.inf
Аппаратный ID ms_pschedmp
[ Сетевые платы / Минипорт WAN (IP) ]
Свойства устройства:
Описание драйвера Минипорт WAN (IP)
Аппаратный ID ms_ndiswanip
[ Сетевые платы / Минипорт WAN (L2TP) ]
Свойства устройства:
Описание драйвера Минипорт WAN (L2TP)
Аппаратный ID ms_l2tpminiport
[ Сетевые платы / Минипорт WAN (PPPoE) ]
Свойства устройства:
Описание драйвера Минипорт WAN (PPPoE)
Аппаратный ID ms_pppoeminiport
[ Сетевые платы / Минипорт WAN (PPTP) ]
Свойства устройства:
Описание драйвера Минипорт WAN (PPTP)
Аппаратный ID ms_pptpminiport
Свойства устройства:
Описание драйвера Минипорт планировщика пакетов #2
Дата драйвера 01.07.2001
Версия драйвера 5.1.2535.0
Поставщик драйвера Microsoft
INF-файл netpsa.inf
Аппаратный ID ms_pschedmp
[ Сетевые платы / Прямой параллельный порт ]
Свойства устройства:
Описание драйвера Прямой параллельный порт
Дата драйвера 01.07.2001
Версия драйвера 5.1.2535.0
Поставщик драйвера Microsoft
INF-файл netrasa.inf
Аппаратный ID ms_ptiminiport
сорри за несколько большой пост, но имхо подробность не помешает.
вот только думаю - попробовать скачать дрова с гигабайта и приткнуть. чичас проверю. а удаление pfc.sys - ситуацию не спасло. чичас обратно верну.
---------------------------------------
Маленькое дополнение: сообразил - от nVidia могут быть тока дрова видеокарты. Попробую их снести. На синем экране что-то на тему видеокарты было. И проверю заодно - nVidia они или мелкософт.
Маленькое дополнение: сообразил - от nVidia могут быть тока дрова видеокарты. Попробую их снести.
Да не спешите, без самодеятельности, пожалуйста!
Добавлено через 12 минут
Из этих самых "минипортов" ничего не удаляли?
Давайте попробуем так:
1. Запустите services.msc, найдите в списке службу от Nvidia (точное название не помню, у меня ATI) и сделайте ей тип запуска Disabled.
2. Выполните скрипт:
Код:
begin
BC_QrSvc('NvNdis');
BC_DeleteSvc('NvNdis');
BC_Activate;
RebootWindows(true);
end.
3. В безопасном режиме выполните патч восстановления ndis.sys и пробуйте нормальный режим.
Последний раз редактировалось Bratez; 03.07.2007 в 18:32.
Причина: Добавлено сообщение
скрипт в защищенном режиме выполнить с файлом ndis.sys лежащим на месте?
мы ожидаем, что после перезагрузки комп заведется в нормальном режиме?
из софта от nVidia был nVidia DVD decoder. т.к. в бухгалтерии оно не нужно - снес еще вчера.
"минипорты" в принципе! не удаляются. система отвечает что-то типа "невозможно удалить, возможно устройства нужны для загрузки системы"
Добавлено через 51 минуту
скрипт выполнен. по прежнему синий экран. по команде:
net stop NvNdis
отвечает - такая служба не установлена.
выписал stop ошибку при загрузке в нормальном режиме
stop: 0x0000007E (0x0000005, 0x8059992D, 0xF898868C, 0xF8988388 )
может это как-то что-то подскажет
по поводу софта от nVidia - где-то видел утилиту помогающую вычитстить систему от драйверов этого производителя. Может быть ей воспользоваться?
жаль расшифровку кода в скобках не нашел.
попробую переместить все не микрософтовские драйвера.
так же там написано:
Если проблема связана с файлом Win32k.sys, возможно, она вызвана программой независимого производителя для удаленного управления. Для удаления службы и запуска компьютера используйте консоль восстановления, а затем удалите указанный файл системной службы.
Может быть похоже на правду по поводу удаленного управления. попробую так же эту рекомендацию. пожалуй сначала это а потом, если не поможет, по поводу всех остальных драйверов.
Добавлено через 36 минут
Win32k.sys не при делах. Ошибка о конфликте драйверов возникает раньше чем система сваливается в синий экран с сообщением об отсутсвии менеджера сессий. Работаю дальше.
Последний раз редактировалось WhiteWolf; 04.07.2007 в 13:26.
Причина: Добавлено сообщение
Прошу прощения за молчание. Долго не было возможности продолжить общение. В конечном итоге пришлось решить проблему переустановкой системы. Так-как стало вдруг "срочно срочно". Сейчас похожая проблема на другмо компьютере и опять в бухгалтерии. Синий экран. Safe mode не работает. ошибка stop: 0x00000007e если в количестве нулей не ошибся. Сначала слетела авторизация к локалке на этой машине. После перезагрузки вылез синий экран.
Буду тоже переставлять видимо.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: