-
Junior Member
- Вес репутации
- 52
Помогите справится с руткитом.
Процесс svchost сильно грузит систему.
MBAM настойчиво ругается на C:\WINDOWS\system32\Drivers\ntndis.sys - говорит руткит.
ComboFix запускается, жалуется на работающий резидентом сканер ESET NOD32 (хотя я корректно деинсталировал NOD). После чего делает попытку запустится и исчезает. Причем не просто прекращает работу, а исчезает из папки запуска. Что-то его просто удаляет.
Лог HiJackThis забыл сделать . Но там вроде все что было я поприбивал.
Есть какая-то подозрительная строчка в логе GMERа. Показать?
Да, пытался скопировать лог mbam так увидел вот что
И еще... Посмотрите в логах AVZ на странный номер СП. Я точно знаю что на эту машину ставил систему с интегрированным СП3.
скрипт
Никогда не выполняйте скриптов из других тем, это может нанести вред Вашей ОС.
не помагает. При следующем прогоне MBAM он по прежнему ругается на файл.
Последний раз редактировалось Никита Соловьев; 27.09.2010 в 00:38.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Drivers\bcfnt.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
-
-
Junior Member
- Вес репутации
- 52
-
Файл C:\WINDOWS\system32\Drivers\NDIS.sys надо заменить чистым с дистрибутива.
-
-
Junior Member
- Вес репутации
- 52
Зловред не давал даже скопировать файл ndis.sys c флешки в произвольную папку. Загрузился с LiveCD - прогнал CureIt. Он вылечил ndis.sys в system32 и в dllcache.
После перезагрузки - все прекрасно. Mbam и GMER ничего не находят.
-
Выполните скрипт в AVZ:
Код:
begin
ExecuteWizard('TSW',2,2,true);
end.
В логах чисто.
-
-
Junior Member
- Вес репутации
- 52
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
-