Здравствуйте! Помогите дочистить комп. Два зловреда нашел, отправил в Лабароторию Касперского. Остался третий. Спамит, как только кабель подключаешь.
На компе WinXP SP2. При установки SP3 ругается на то, что файл c:\..\ndis.sys занят другим процессом и не ставится дальше.
Логи прикладываю. В них только заметил в файлике host левую запись. Ткните носом, где зловред?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Большой спасибо Aleksandra! Выполнил скрипт. Файл 'digiwet.dll' я до этого как раз и отправлял в Лабораторию. Отправил Вам запрошенный карантин.
Действительно была подмена файла ndis.sys. Причем когда смотришь из-под Windows (NTFS) он нормального размера. Но когда копируешь на флешку (отформатированную под FAT) он увеличивается в размере. Загрузился с Life-CD там этот файл, понятное дело, никак не маскируется и имеет увеличенный размер. Я перезалил нормальный файл. После этого удалось уже поставить SP3.
Насколько я понимаю ndis.sys маскировался в ntfs-потоке. Вот только где почитать про эти механизмы поподробнее? Как можно проверять, что какие либо файлы ОС осуществляют подобное?
P.S. На всякий случай снял после лечения (но до установки SP3) еще раз все логи. Прикладываю.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: