-
Junior Member
- Вес репутации
- 50
Ndis.sys заражен Backdoor Bulknet 507
добрый день
проблема с вирусом
доктор WEB пишет - "будет исцелен после рестарта",
но не исцеляет.
ndis.sys C:\WINDOWS\system32\dllcache BackDoor.Bulknet.507
ndis.sys C:\WINDOWS\system32\drivers BackDoor.Bulknet.507
На форуме уже были сообщения на эту тему подскажите пожалуйста как избавиться от этого зверя.
Выполнил диагностику утилитами как в инструкции и прикрепляю файлы с логами.
Заранее благодарю за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\tcpsr.sys','');
DeleteFile('digeste.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Файл NDIS.sys замените чистым с дистрибутива.
-
-
Junior Member
- Вес репутации
- 50
Спасибо, Olejah , сейчас попробую все это прожелать.
Добавлено через 20 минут
Карантин отправил по ссылке.
после выполнения скрипта в AVZ комп повис пришлось в ручную запускать.
Последний раз редактировалось Victor_D; 30.10.2010 в 18:06.
Причина: Добавлено
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\Drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Файл NDIS.sys заменили?
-
-
Junior Member
- Вес репутации
- 50
Чего-то не получается заменить ndis.sys из дистрибутива. архивный ndis.sy_ не распаковывается в безопасном режиме.
-
Если это невозможно - то с любого Live CD (BartPE, Knoppix) либо в консоли восстановления (см. ниже).
А так?
-
-
Junior Member
- Вес репутации
- 50
Olejah, спасибо огромное за помощь, файл перезаписал с дистрибутива, скрипт запустил проверил Drweb все Ок. Спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
- c:\\windows\\system32\\drivers\\tcpsr.sys - Rootkit.Win32.Agent.bdwt ( DrWEB: Trojan.NtRootKit.9775, BitDefender: Rootkit.18103, NOD32: Win32/Rootkit.Agent.NKB trojan, AVAST4: Win32:Rootkit-CX [Trj] )
-