Проблемы с КриптоПро CSP
Помогите, на компе бухгалтерская программа и зарплата. Бухгалтер полазила в инете и после этого при запуске любой программы появляется табличка с КриптоПро CSP (вставьте ключевой носитель) два раза нажимаешь отмена и она пропадает. При следующем запуске любой программы тоже самое. Сама КриптоПро CSP у нас установлена, но раньше такого небыло, чтобы она сама по себе включалась.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ну кто-нибудь мне ответит?
Помогите, вылечил крипто-про(с помощью ZBotKiller_v2), но такое ощущение что комп постоянно качает траффик из инета. Проверьте логи пожалуйста. Вложенные файлы в теме "Проблемы с КриптоПро CSP".
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузиться!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('digiwet.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\System32\reader_s.exe',''); DeleteFile('C:\WINDOWS\System32\reader_s.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('digiwet.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Сделайте новые логи по правилам.
Закачал карантин и новые логи, но трафик все равно уходит. Каждый день по 100мб. В сети 10 компов, как определить с какого уходит. Эти логи с самого подозрительного компа.
Последний раз редактировалось Hawk; 08.07.2009 в 16:58.
cure/it не может пройти полную проверку, выдает синий экран
Сделайте новые логи с включенным AVZPM (включите драйвер расширенного мониторинга процесса)
Включил AVZPM и проверил. Логи выставил. При включенном компе, постоянно приходят и отправляются пакеты в большом количестве (за пол часа 30000 пакетов)
Вот Ваш виновник (предварительный диагноз: Trojan.NtRootKit.2670 - по DrWeb, Virus.Win32.Protector.a - по Касперскому)
Выполните скрипт в AVZ
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys',''); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скинул карантин, за прошлый день опять 160 мб трафика
NDIS.sys - Virus.Win32.Protector.a
Диск, с которого устанавливалась Windows на этом компьютере имеется?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Имеется, а что там вирус? Может сделать так?
Находим дистрибутив Windows.
Копируем из папки i386 файл NDIS.SY_ к себе в любую папку
Переименовываем файл в NDIS.ZIP и распаковываем из него оригинальный NDIS.SYS
Удаляем зараженный ndis.sys из C:\WINDOWS\System32\Drivers.
Копируем оригинальный, заранее подготовленный NDIS.SYS в папку C:\WINDOWS\System32\Drivers.
Проверяем диски на вирусы, тем самым вычищая остатки в виде cpXXXX.nls
Перезагружаем компьютер
Добавлено через 35 секунд
Или можно как-нибудь попроще
Добавлено через 6 минут
А зачем дистрибутив, а с другого компа нельзя скопировать?
Последний раз редактировалось Hawk; 10.07.2009 в 16:14. Причина: Добавлено
В безопасном режиме
, где х - буква уст. диска CDКод:expand x:\I386\ndis.sy_ C:\WINDOWS\system32\drivers\ndis.sys
С другого компьютера, на котором система ставилась с этого же диска? Попробуйте, но тоже в безопасном режиме
А cpXXXX.nls зачем?
Последний раз редактировалось Rene-gad; 13.07.2009 в 18:02.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
а почему именно с этого диска? А с другого дистрибутива нельзя? Или просто скопировать с другого компьютера? Просто не очень помню, с какого устанавливал.
Если система лицензионная, то можно с любой такой системы брать с одинаковым Сервис-паком.
Если сборка, то кто его знает, повезет или нет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скриптом в безопасном не получилось выдал ошибку. Загрузил систему с загрузочного диска и там поменял. Теперь посмотрим.
Это был не скрипт, а инструкция, которую нужно было выполнить в командной строкеСообщение от Hawk
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
в строке тоже пробовал, тоже не получилось. Он даже вручную не записывался в безопасном. Записал на флэшку с другого компа, стал переписывать на этот и нифига (диск защищен от записи) Только с помощью загрузочного диска. Но в любом случае большое спасибо.
Команду нужно в консоли восстановления выполнять, в безопасном не получится
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.a ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )
Уважаемый(ая) Hawk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
