-
Не удается найти ntndis.exe
1. Дано - компьютер проходил начальную проверку устройств, но перед загрузкой ОС уходил в черный экран без признаков жизнедеятельности.
2. Сделано - снял хард, подключил к другой машине, проверил CureIT
- Найден 71 зараженный файл
- Backdoor.IRC.Evil, Backdoor.Bulknet, Backdoor.Siggen,
- Trojan.DnsChange, Trojan.Spambot ну и конечно Trojan.Downloader
- VBS.Psyme и VBS.PackFor определились но действий с ними не произошло
3. Вернул хард на место - ОС загрузилась, сразу звуковой сигнал (как при ошибке) и выходит сообщение
"Windows не удалось найти файл по адресу C:\windows\system32\drivers\ntndis.exe"
4. Просканировал AVZ
Что скажете, эксперты?!
Последний раз редактировалось eifory; 14.10.2008 в 10:08.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксить:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kdckj.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
DeleteService('Qsi85');
QuarantineFile('C:\WINDOWS\system32\drivers\zgoxqnx.sys','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Qsi85.sys');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('kdckj.exe');
BC_ImportDeletedList;
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Правилам. Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
1. Окошко "Не удается найти файл...." теперь не вылезает
2. Карантин пуст , отправлять нечего
3. Новые логи сделал
Последний раз редактировалось eifory; 14.10.2008 в 10:08.
-
-
Профиксить:
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
Почистим:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('ndidl');
BC_DeleteFile('C:\WINDOWS\system32\drivers\zgoxqnx.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
сделать новые логи с п.10 Правил
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Пофиксил, вкладываю лог AVZ.
Последний раз редактировалось eifory; 03.07.2008 в 15:35.
-
-
Последний раз редактировалось eifory; 14.10.2008 в 10:07.
-
-
В логе чисто.
Желательно разобраться с этим:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-