Здравствуйте! Суть проблемы заключается в том, что приложение explorer.exe ведет себя крайне странно, а имено "кушает" память от 18000 до 55000 КБ (в таск менеджере смотрел), затем переодически циклично перезагружается (на 1 - 3 сек исчезает весь рабочий стол, остаётся лишь фон с последующей загрузкой в исходное положение), но самое противное, из-за этого гнусного эксплорера почему-то падает IE, а вместе с ним и моё VPN-соединение, причем при повторном коннекте в впн соединении выдается ошибка, пока вручную не перезагрузишь explorer.exe, чудеса да и только!
У меня стоит Panda Platinum 7.07.01 со свежими базами, она ничего не находит))
Также установлен Ad-Aware SE Professional 1.06e, но он каждый раз отыскивает одни и те же незначительные угрозы)))
На всякий случай сделал проверку прогой SDFix, она помойму что-то нашла (поэтому прикрепляю от неё репорт, может поможет Report.txt)
И, наконец, проверил подозрительный файл C:\cp1467.nls на сайте касперского, там мне вадал их сканер, что cp1467.nls - инфицирован SpamTool.Win32.Agent.u может всё из-за него?
Еще забыл сказать, что трафик тоже как то непонятно себя ведет - сижу на одной странице, а он все растет и растет (в обоих направлениях)
Кароче ппц какой-то... Помогите пожалуйста, а то систему не охота грохать!
Последний раз редактировалось LectRo; 18.04.2007 в 02:52.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнил этот скрипт, затем система ушла на перезагрузку и... синий экран! Причем система не грузилась даже в безопасном режиме! Пришлось загружаться с последней рабочей конфигурации!!!
Сделал проверку avz 4.25 со свежими базами, он опять написал:
Ошибка карантина файла "C:\WINDOWS\system32\drivers\ndis.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ОК
Файл "C:\WINDOWS\system32\drivers\ndis.sys" успешно помещен в карантин
>>>Для удаления файла C:\WINDOWS\system32\drivers\ndis.sys необходима перезагрузка
C:\WINDOWS\system32\drivers\ndis.sys >>>>> SpamTool.Win32.Agent.u ошибка удаления
C:\WINDOWS\system32\drivers\ndis.sys Cannot open file "C:\WINDOWS\system32\drivers\ndis.sys". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
Вообщем, я так понимаю что проблема с файлом ndis.sys, но после вышеуказанного скрипта система не грузиться (синий экран). Подскажите пожалуйста, как правильно удалить и заменить зараженный ndis.sys на незараженный?
Скрипт выполнил, но увы, всё по новой (BSOD с ошибкой NDIS.SYS). Пришлось опять выбирать опцию: "Восстановить последнюю рабочюю конфигурацию". Кто-нибудь подскажите пожалуйста, как вручную удалить этот NDIS.SYS и поменять его на незараженный, чтобы работала сеть и инет!
Попробуйте удалить через Сервис - Диспетчер служб и драйверов - Сервисы (по анализу реестра). Эта операция выпишет файл из реестра, не удаляя сам файл. Если не получится - сделайте в безопасном режиме.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Не обнаруживает этот процесс по анализу реестра!
NDIS.SYS обнаруживает только по данным API:
Служба: NDIS
Описание: Системный драйвер NDIS
Статус: Работает
Файл: NDIS.sys
Группа: NDIS Wrapper
Я понял ошибку: удалять ndis.sys совсем нельзя, т.к. это необходимый системный драйвер, но он подменен вирусом. Похоже выход только один - загрузиться с Live CD либо воспользоваться консолью восстановления и заменить файл c:\windows\system32\drivers\ndis.sys из дистрибутива Windows + удалить все 'c:\cp####.nls'. После этого сделать новые логи для зачистки того, что останется.
Последний раз редактировалось Bratez; 27.04.2007 в 06:54.
Загрузился с Live CD, потом удалил вручную этот NDIS.sys и заменил его на "родной" с дистрибутива. Теперь вроде всё впорядке, т.е. новые файлы cp####.nls больше не регенирируются. Шлю вам новые логи. Всем, кто пытался мне помочь, выражаю благодарность и уважение!
Hello,
avz00001.dta, bcqr00001.dat, bcqr00002.dat - Trojan.Win32.Agent.afg
These files are already detected. Please update your antivirus bases.
avz00002.dta, bcqr00003.dat, bcqr00004.dat
No malicious code were found in these files.
Winlogon- оказался чистым .
Последний раз редактировалось drongo; 04.05.2007 в 14:23.
Система перезагрузится. Возможно, нарушится связь с интернетом, тогда используйте утилиту Winsocksxpfix, которую вы уже скачивали.
Повторите логи п.10 и 12 правил.
Последний раз редактировалось drongo; 04.05.2007 в 14:33.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: