Здравствуйте
В AVZ протоколе к ядру подцеплен какой-то странный драйвер без имени ".sys"
Помогите, пожалуйста, что это за драйвер
Здравствуйте
В AVZ протоколе к ядру подцеплен какой-то странный драйвер без имени ".sys"
Помогите, пожалуйста, что это за драйвер
Пофиксите строку в hijackthis:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):Код:F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip пришлите по ссылке "прислать запрошенный карантин" вверху темы
Сделайте новые логи
quarantine.zip получился пустой.
Этой бяки isi32.exe в корзине уже год как нету
А еще есть подозрение к двум драйверам, побитное сравнение дает отличие от оригинальных с CD-диска.
ndproxy.sys и tcpip.sys
Файл virus.zip отправил по ссылке "прислать запрошенный карантин" вверху темы.
Закачался как "091230_222132_virus_4b3ba83c549c1.zip"
Пароль virus
P.S. Эти файлы заменил на недельке на оригинальные, когда NOD32 от "ПО Get Access" излечил.
P.P.S. Сейчас глянул текстовым редактором на ndproxy.sys. Он точно поврежден вирусом был:
\ ? ? \ C 2 C A D 9 7 2 # 4 0 7 9 # 4 f d 3 # A 6 8 D # A D 3 4 C C 1 2 1 0 7 4 \
и т.п., плюс ссылки на уделенный Nodom файл
\ s y s t e m r o o t \ s y s t e m 3 2 \ c o n f i g \ 1 2 3 4 5 6 7 8 . s a v
Раз он точно вирусный, вопрос другой у меня:
Могут ли установленные программы "пострадать" из-за замены ndproxy.sys и tcpip.sys на оригинальные?
Например, Vmware, nod32, промышленные проги. Они могут изменять эти файлы "под себя" после установки?
И соответственно оригинальный им не подойдет?
Последний раз редактировалось YurArm; 30.12.2009 в 22:41. Причина: P.P.S.
Не должны они системные файлы менять. Свои драйверы поставить - это всегда пожалуйста. А патчить фирменное - это только Зверь и иже с ним балуются.
Всё ясно, спасибо, тему можно закрывать.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \ndproxy.sys - Rootkit.Win32.ZAccess.bq
Уважаемый(ая) YurArm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.