-
Junior Member
- Вес репутации
- 60
Trojan.Backdoor.Win32.Bredolab.dt
Подцепил в Интернете Trojan.Backdoor.Win32.Bredolab.dt и Virus.Win32.Protector.b. Касперский их удалил, но после этого стало появляться окно с сообщением "Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Вставьте компакт-диск... " после нажатия "Отмена" появляется окно с сообщением "вы отказались от восстановления исходных версий файлов. это может нарушить стабильность работы windows. вы действительно хотите сохранить эти нераспознанные версии файлов". Нажимаю "да".. окно исчезает и появляется снова.
Последний раз редактировалось wheeller; 03.11.2009 в 20:43.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Какие файлы были заменены?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Карантин прислал. О том какие файлы были заменены ничего сказать не могу, т.к. в журнале событий Касперского записей нет. Имеются записи об обнаруженных и затем вылеченных Trojan.Backdoor.Win32.Bredolab.dt и Virus.Win32.Protector.b...
Как избавиться от этого сообщения?
Последний раз редактировалось wheeller; 08.08.2009 в 17:57.
-
Сообщение от
wheeller
Имеются записи об обнаруженных и затем вылеченных Trojan.Backdoor.Win32.Bredolab.dt и Virus.Win32.Protector.b...
А там разве не указано имя файла?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Нашел запись "обнаружено" Virus.Win32.Protector.b - Generic Host Process.. - C:\WINDOWS\SYSTEM32\DRIVERS\ndis.sys, ниже "вылечено" Virus.Win32.Protector.b - Generic Host Process.. - C:\WINDOWS\SYSTEM32\DRIVERS\ndis.sys
C:\WINDOWS\SYSTEM32\dllcache\ndis.sys
Далее:
07.08.2009 13:45:23 Обнаружено: Backdoor.Win32.Bredolab.dt Adobe Reader 7.0 http://a5m.at:8080/welcome.php?id=5&hello10
07.08.2009 13:45:24 Запрещено: Backdoor.Win32.Bredolab.dt Adobe Reader 7.0 http://a5m.at:8080/welcome.php?id=5&hello10
07.08.2009 13:46:29 Обнаружено: Suspicious driver installation INSTALL.EXE C:\DOCUMENTS AND SETTINGS\EUGENIY\LOCAL SETTINGS\TEMP\RARSFX0\INSTALL.EXE
07.08.2009 13:46:42 Завершен: Suspicious driver installation INSTALL.EXE C:\DOCUMENTS AND SETTINGS\EUGENIY\LOCAL SETTINGS\TEMP\RARSFX0\INSTALL.EXE
07.08.2009 13:46:42 Обнаружено: Suspicious driver installation WPV781249365049.EXE C:\WINDOWS\TEMP\WPV781249365049.EXE
07.08.2009 13:46:46 Завершен: Suspicious driver installation WPV781249365049.EXE C:\WINDOWS\TEMP\WPV781249365049.EXE
... все временные файлы почистил C'cleaner'ом
В разделе Самозащита (6000 записей):
08.08.2009 12:28:43 Запрещено FIXCCS.EXE Изменение REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\avp \$%&'()*+,
.....
08.08.2009 12:35:01 Запрещено FIXCCS.EXE Изменение REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\kli f\Parameters\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
Последний раз редактировалось wheeller; 08.08.2009 в 18:45.
-
На всякий случай
Файлы ndis.sys и beep.sys нужно заменить на чистые из дистрибутива:
- Загрузитесь в консоли восстановления
- На приглашение введите строку:
Код:
expand X:\i386\ndis.sy_ C:\WINDOWS\system32\drivers\ndis.sys
Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.
- На приглашение введите строку:
Код:
expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys
Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.
- Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
- Загрузитесь нормально.
Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Я устанавливал Windows XP с диска Windows XP SP2, сейчас его у меня нет, есть диск Windows XP SP1. Можно ли с него заменить эти файлы?
-
К сожалению нет. Но есть вариант установить SP3 (может потребоваться активация). А заодно и все новые патчи поставить после этого
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
не получается заменить файл
C:\WINDOWS>EXPAND E:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys
Не удается создать файл beep.sys.
0 файлов распаковано.
Также и с ndis.sys
UPD: Систему до SP3 я буквально вчера обновил... может попробовать еще раз те же обновления поставить (WindowsXP-KB936929-SP3-x86-RUS)??
-
Своим предыдущим сообщением ввели меня в заблуждение
Попробуйте повторно установить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Переустановил заново SP3, ничего не помогло... как избавиться от этого оповещения о файлах замененных "неизвестными версиями" ??? ( ...попутно заметил: если поставить любой диск в DVD-ROM это сообщение исчезает... убираешь диск - снова та же песня...
-
Скачайте архивы из вложений. Распакуйте их в какую-нибудь папку
Загрузитесь с LiveCD
Замените соответствующие файлы в папках C:\WINDOWS\system32\drivers и C:\WINDOWS\SYSTEM32\dllcache
Последний раз редактировалось thyrex; 04.04.2010 в 22:40.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Напишите подробнее о LiveCD (где взять? что и как делать?)
UPD: в папке C:\WINDOWS\SYSTEM32\dllcache\ файлов beep и ndis нет.
Добавлено через 2 часа 27 минут
ОГРОМНОЕ Вам спасибо thyrex, Разобрался что к чему скачал с торрента BartPE LiveCD, и там уже через Total Commander заменил в папке C:\WINDOWS\system32\drivers файлы на оригинальные. Правда с первого раза не получилось, т.к. я эти beep и ndis скопировал и в папку C:\WINDOWS\SYSTEM32\dllcache хотя их там и не было... получил в итоге BSOD удалил их из dllcache, и все заработало! Всплывающее окно исчезло. Спасибо Вам еще раз!
Последний раз редактировалось wheeller; 09.08.2009 в 03:17.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\beep.sys - Rootkit.Win32.Pakes.wc ( DrWEB: Trojan.NtRootKit.3265 )
-