При подсоединении к интернету сразу начинает уходить трафик. Файервол показывает, что начинаются обращения к разным ip с системных служб windows (services.exe, svchost.exe). Периодически от файервола появляются предупреждения о bn2.tmp, bn5.tmp файлах из директории Windows/Temp, требующих доступа к процессам. Удаление данных файлов ничего не дает, через какое-то время появляются снова. Могут только не оказывать активности.
Прошу помочь!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
использовал команду восстановления системных файлов
Sfc /Scannow
посмотрел, действительно файл NDIS.sys как будто бы изменился (свежая дата модификации), но через некоторое время опять трафик стал уходить по некоторым ip.
Судя по всему это троян Trojan.Neprodoor!inf
ПО его описанию, что я нашел пытается соединяться как раз с теми адресами,, что там указаны
В описание есть интересная строчка
The infected driver file includes the functionality to protect the infected ndis.sys from being overwritten. It also presents a non-infected image of ndis.sys to applications that attempt to read the infected file.
что я так понимаю означает, что просто перезаписывание не поможет или нужно какое-то особое перезаписывание...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: