был reader_s.exe, ndis.sys,.. увеличивается размер exe-файлов, ломится в инет *.tmp
Здравствуйте!
обращаюсь к вам, т.к. сама не смогла ничего сделать. попробую написать "кратко" ))
в сеть выхожу со здоровой машины.
на зараженном компе две винды, XP SP2 и 2000 SP4, заражены теперь обе. отключен физически от сети, антивируса и фаервола не стояло. началось с xp, ее и прошу помочь вылечить.
Началось неск. дней назад - подозрительная активность соединения с инетом (постоянно чето качает в обе стороны), отрубился qip и daemon tools.
После того как сразу вылечить не удалось - после перезагрузки и выхода все появлялось - tmp файлы в c:\windows\system32, опять начинало качать и через некоторое время опять видели в процессах reader_s.exe...
Отрубила сеть, посмотрела процессы: reader_s.exe висит и разные tmp файлы. Начиталась форум, решила в безопасном режиме все диски CureIt-ом просканить, лог есть. Там вирусы типа trojan.download и trojan.packed разные цифры, еще кажется spambot, и главное файл ndis.sys - ntrootkit.2912
Дальше не помню что тока не делала... :) сеть пропала (решила что из-за удаления ndis.sys), положила чистый ndis.sys, винда перегружалась не доходя до ввода пароля пользователя (в безопасном режиме тоже). в конце концов стала падать в синий экран (и в безопасном тоже) с ошибкой в ntoskrnl.exe
Пока копировала все эти файлы из под 2000 виндовса, в нем тоже начались симптомы.
Папа переставил xp поверх, - с восстановлением системных файлов и с сохранением всех пользовательских настроек и программ. не помогло. да, еще не знали симптомов, avz и cureit говорили все чисто, temp папки были чисты, файлов не было, в реестре ссылок на reader_s не было, - поэтому думали все в порядке, поставили фаервол agnitum. Только подключили сеть сразу появились tmp файлы в system32 и захотели выйти через svchost.exe, после запрета - нечто попыталось завершить службу аутпоста. в процессах - куча cmd.exe и svchost.exe..
сделали откат, не помогло:)
на текущий момент: сеть физически отключена, фактически все дрова на месте. все темповые папки очищены, файлов нету, ничего не возникает, Cureit ничгео не находит, avz тоже. Что настораживает - если откуда нибудь (флэш, cd) копировать Exe файлы на комп, то они увеличиваются в размере на ~14кб, после чего avz.exe сообщает что его контрольнам сумма не совпадает.
поэтому я все со здоровой машины записываю на cd и там запускаю. еще копирую как .pif, тоже помогает.
в 2000 тоже самое. Если щас подключиться к инету - опять начнется по новой. прямо какойто "спящий режим" )
Простите что так много написала...
прилагаю стандартные логи, что можно сделать? Спасибо!
среди программ есть для блютуса и ик порта (нокиа)
Еще есть (начитавшись форума) логи gmer, vba32Arkit, скачала rootkit unhooker но не знаю какую именно надо страницу в лог.
Последний раз редактировалось e11e; 02.07.2009 в 17:05.
Причина: убрал лишнее вложение
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
лог gmer будет очень попозже - в прошлый раз 2 часа шел только диск С
Делайте только С:.
Добавлено через 4 минуты
Пардон, при первом прочтении не обратил внимание:
если откуда нибудь (флэш, cd) копировать Exe файлы на комп, то они увеличиваются в размере на ~14кб, после чего avz.exe сообщает что его контрольнам сумма не совпадает.
да, щас попробуем все диски прогнать авп тул.
лог gmer прилагаю - правда он не до конца дошел, остановила, вначале много понаписал..
пока что полечусь. вдруг все пройдет..)
Спасибо вам!
"пролечила" - 5 с половиной часов в работе. 3225 зараженных Virut.ce файлов, других вирусов не было. видимо их раньше убило.
сказало что вылечило, системные - будут вылечены после перезагрузки. после перезагрузки симптомы все теже. (восстановление точно отключено) по прежнему заражено. жаль.
))
загрузилась с BartPE и оттуда скан по системному диску.
________
добила хорошо что все опять не позаражались только 4 системных, те что avptool не смог сразу. но зато он все вылечил
Проблем вроде больше нет. Спаси вас Господи за поддержку )
Последний раз редактировалось e11e; 03.07.2009 в 03:11.
и еще такой вопрос - тепер ьвсе системные файлы, которые были вылеченаы - ен проходят по контрольной сумме, ну и дата изменилась. стоит ли сделать sfc /scanonce ? или так можно жить))
Последний раз редактировалось e11e; 03.07.2009 в 12:50.
Да, для надежности есть смысл сделать SFC /SCANNOW или просто накатить систему "поверх". Если есть возможность использовать дистрибутив с интегрированным SP3 - накатите его, сразу двух зайцев убьете. Ну и последующие обновления потом очень рекомендуется поставить.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: