-
Junior Member
- Вес репутации
- 55
Вирус в NDIS.SYS, много качает из интернета
Здравствуйте! У меня такая проблема: после каждого обновления NODa выскакивает такое сообщение:
Но удалить файл NDIS.SYS невозможно. Сканировался компьютер несколько раз NODом и программой Malwarebytes' Anti-Malware, но они ничего не находят.
В диспетчере задач появляется два лишних процесса svchost.ехе, после отключения которых больше не происходит ненужная закачка из Интернета.
Все логи сделаны.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SERVICES.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\QSQTQSTO.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\xzqg.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fddaurmb.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\b73287ef.sys','');
QuarantineFile('C:\WINDOWS\system32\uscsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\xzqg.sys');
DeleteFile('C:\WINDOWS\system32\drivers\QSQTQSTO.sys');
DeleteFile('C:\WINDOWS\SERVICES.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи после перезагрузки.
Загрузить карантин через красную ссылку.
Файл NDIS.SYS надо будет заменить с дистрибутива через консоль восстановления.
После всего этого пролечится по теме http://virusinfo.info/showthread.php?t=43700
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Ваш скрипт выполнен.
Сделаны новые логи.
Карантин отправлен (правда, не получилось установить пароль).
Что касается файла NDIS.SYS, то у меня на данный момент нет дистрибутива. Попробую достать в ближайшее время.
-
Пароль AVZ ставит сама, если через нее карантин паковали.
Без замены NDIS не вылечится.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Не могу никак найти дистрибутив. Может Вы можете мне прислать файл NDIS? Или так нельзя сделать?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Извините, Павел, за мою тупость, но я на file.net не могу разобраться, а те ссылки, которые я там нажимаю, блокируются НОДом как троян. Может Вы мне кинете ссылочку, откуда скачать, если Вам не трудно?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Скачала по ссылке DriverCure Installer, но там просят сначала зарегистрировать программу за $29.97 (((
-
извините не проверил, на работе запарка.
В папке dllcache поищите ndis.sys. Если найдется, то сравните размер.
Далее надо будет из dllcashe перенести в корневой каталог,
а потом уже в консоли восстановления заменить.
Последний раз редактировалось PavelA; 28.08.2009 в 12:34.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Подскажите чайнику, как перенести файл в корневой каталог.
-
Корень диска это C:\. Копировать explorer(правая клавиша мыши, копировать) , far (F5), total Commander (F5)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
ndis.sys в папке dllcache также заражается. Поэтому такой вариант неприемлем
Последний раз редактировалось thyrex; 28.08.2009 в 15:14.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Значит, надо искать или файл, или дистрибутив. От старых зверей была лечилка, но боюсь от новых она не сработает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Здесь я выкладывал нужный файл в заархивированном виде. Скачиваете, распаковываете куда-нибудь и заменяете с консоли восстановления или LiveCD
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
А без консоли восстановления можно файлы заменить? Просто установочного диска у меня нет да я и не умею пользоваться консолью.
Добавлено через 1 час 42 минуты
Сообщение от
thyrex
Здесь я выкладывал нужный файл в заархивированном виде. Скачиваете, распаковываете куда-нибудь и заменяете с консоли восстановления или LiveCD
Архив не распаковывается. Пишет: "Невозможно создать NDIS.SYS. Отказано в доступе."
Последний раз редактировалось galsi; 29.08.2009 в 00:11.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 55
И "в текущую папку", и в корневой каталог C, и в D, везде пишет одно и то же.
-
Сообщение от
galsi
А без консоли восстановления можно файлы заменить?
Нет.
Просто установочного диска у меня нет да я и не умею пользоваться консолью.
Найдите Live CD (Bart PE или Knoppix) или сделайте их на чистой машине.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.b ( DrWEB: Trojan.NtRootKit.2912, BitDefender: Rootkit.19832, NOD32: Win32/Protector.C virus, AVAST4: Win32:Cutwail-J )
- c:\windows\system32\uscsvc.exe - Trojan-Clicker.Win32.Delf.cpb
-