Что скрывается за ndis.sys?
Здравствуйте! Помогите дочистить комп. Два зловреда нашел, отправил в Лабароторию Касперского. Остался третий. Спамит, как только кабель подключаешь.
На компе WinXP SP2. При установки SP3 ругается на то, что файл c:\..\ndis.sys занят другим процессом и не ставится дальше.
Логи прикладываю. В них только заметил в файлике host левую запись. Ткните носом, где зловред?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys',''); DeleteFile('digiwet.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=43978
Добавлено через 2 минуты
В случае подмены файла C:\WINDOWS\System32\Drivers\NDIS.sys его надо заменить на нормальный из дистрибутива.
Последний раз редактировалось Aleksandra; 16.04.2009 в 23:44. Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Большой спасибо Aleksandra! Выполнил скрипт. Файл 'digiwet.dll' я до этого как раз и отправлял в Лабораторию. Отправил Вам запрошенный карантин.
Действительно была подмена файла ndis.sys. Причем когда смотришь из-под Windows (NTFS) он нормального размера. Но когда копируешь на флешку (отформатированную под FAT) он увеличивается в размере. Загрузился с Life-CD там этот файл, понятное дело, никак не маскируется и имеет увеличенный размер. Я перезалил нормальный файл. После этого удалось уже поставить SP3.
Насколько я понимаю ndis.sys маскировался в ntfs-потоке. Вот только где почитать про эти механизмы поподробнее? Как можно проверять, что какие либо файлы ОС осуществляют подобное?
P.S. На всякий случай снял после лечения (но до установки SP3) еще раз все логи. Прикладываю.
Ничего зловредного в логах нет.
Добавлено через 1 минуту
NDIS.sys - Trojan.NtRootKit.2670
Последний раз редактировалось Aleksandra; 17.04.2009 в 12:47. Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.a ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )
Уважаемый(ая) Zr0M, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
