-
Junior Member
- Вес репутации
- 50
DrWeb CureIt - backdoor.bulknet.507
Доброго времени суток
Система Windows XP SP3. Перестала работать сеть, причем даже не определялось подключен сетевой кабель или нет - всегда был не подключен. Был установлен Eset Smart Security. В диспетчере устройств минипорты Eset отображались с желтыми восклицательными знаками - устройство не может стартовать. Через установку/удаление программ ESS не удалялся ссылаясь на ошибку удаления драйверов в процессе удаления. С сайта Eset была скачана специальная альтернативная утилита удаления ESS в безопасном режиме и применена с соблюдением приводимой на сайте инструкции. В процессе работы утилиты были удалены данные из реестра касающиеся ESS, но и эта альтернативная утилита выдала ругательства по поводу удаления непосредственно с диска файлов касающихся ESS (C:\WINDOWS\system32\drivers\epfwndis.sys и еще нескольких), причем после её работы при попытке вручную удалить/скопировать/открыть FAR'ом эти файлы в нормальном режиме - доступ запрещен, ошибка удаления/копирования/открытия и в свойствах файла вкладка "Безопасность" отсутствует (у рядом располагающихся файлов эта фкладка присутствует, выполнялся chkdsk c: /f - всё осталось также без изменений). После этого при загрузке в обычном режиме сеть заработала. Была проведена проверка DrWeb CureIt. В результате проверки CureIt обнаружил что C:\WINDOWS\system32\drivers\NDIS.SYS инфицирован backdoor.bulknet.507 - будет излечен после перезагрузки. При проведении повторной проверки CureIt после перезагрузки - снова инфицирован NDIS.SYS.
Логи прилагаю. Помогите с лечением - очень не хочется переустанавливать систему.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\Drivers\NDIS.sys');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
-
-
Junior Member
- Вес репутации
- 50
Карантин:
Файл сохранён как 100924_095609_quarantine_4c9c3d791cf57.zip
Размер файла 145195
MD5 d3a9f7b06705cdd855e708772f2bc03c
-
NDIS.sys - Virus.Win32.Protector.f
---------------------------------------------------------------
Файл NDIS.sys замените чистым из дистрибутива (как это сделать?)
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 50
NDIS.SYS заменил на оригинальный из консоли восстановления. Похоже что всё поправилось. Остатки Eset Smart Security удалились успешно и DrWeb CureIt заражений больше не находит.
Логи прилагаю
-
пофиксите в hijackthis:
Код:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
В логах чисто.
-
-
Junior Member
- Вес репутации
- 50
Пофиксил. Спасибо большое. Лечение успешно.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
-