Показано с 1 по 16 из 16.

Перехватчик ntoskrnl.exe (заявка № 94144)

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    205
    Вес репутации
    61

    Thumbs up Перехватчик ntoskrnl.exe

    Добрый вечер!
    Подскажите, AVZ при обычном сканировании ругается на перехватчик
    C:\Documents And Settings\User\WINDOWS\system32\ntoskrnl.exe
    Папки WINDOWS в профиле пользователя нет.
    (операционка - Win2003 Server)
    Это может быть вирус?

    PS О! В этой же папке подозрение на вирус файл smss.exe
    Последний раз редактировалось Grower; 23.12.2010 в 22:03.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    логи где ?

  4. #3
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    205
    Вес репутации
    61
    Вот логи. Проблема в следующем, когда комп грузится (на экране "Подготовка сетевых подключений") он пингуется. Когда загрузился (на экране "Нажмите Ctrl+Alt+Del"), он уже не пингуется и сам сеть не видит. Произошло это после того, как я почистил в HiJack строку типа "О17 LSP что-то-там.exe (File missing)"
    Последний раз редактировалось Grower; 17.03.2011 в 23:16.

  5. #4
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    205
    Вес репутации
    61
    Господа хелперы, очень прошу Вас помочь. Сижу перед компом и жду ответа...

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856

  7. #6
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    205
    Вес репутации
    61
    Закачал....
    Файл сохранён как 101224_004207_virusinfo_files_DINO_4d13c22f42e14.z ip
    Размер файла 5551711
    MD5 14b2bc9e4d8d1a46ff4c59570985c019

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    На время лечения у Вас должен быть физический доступ к серверу!

    1. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine;
    //SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\50.scr','');
     DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
     DeleteFile('C:\WINDOWS\system32\50.scr');
    ExecuteSysClean;
    SetAVZGuardStatus(False);
    //RebootWindows(true);
    end.
    После выполнения скрипта необходимо обязательно отребутить сервер вручную!

    2. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=94144

    3. Сделайте повторный лог virusinfo_syscheck.

  9. #8
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    205
    Вес репутации
    61
    Карантин закачал:
    ----------------
    Файл сохранён как 101224_014816_quarantine_4d13d1b0ded05.zip
    Размер файла 10180
    MD5 534fb11b14829cb22e7b844f64830dec
    ----------------
    Вот новый лог...
    Последний раз редактировалось Grower; 17.03.2011 в 23:16.

  10. #9
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    205
    Вес репутации
    61
    "От нечего делать" сделал лог mbam. Нашлись 2 Backdoor.Agent и один Backdoor.bot
    Последний раз редактировалось Grower; 17.03.2011 в 23:16.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Выполните скрипт в AVZ:

    Код:
    begin
    //SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system\dllcache.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','netmon');
    ExecuteSysClean;
    SetAVZGuardStatus(False);
    //RebootWindows(true);
    end.
    После выполнения скрипта необходимо обязательно отребутить сервер вручную!

    2. Сделайте повторный лог virusinfo_syscheck.

    Добавлено через 2 минуты

    Цитата Сообщение от Grower Посмотреть сообщение
    "От нечего делать" сделал лог mbam.
    Не нужно делать то, чего Вас не просят!
    Последний раз редактировалось Aleksandra; 24.12.2010 в 02:08. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    205
    Вес репутации
    61
    Вот новый лог.

    PS извините за mbam. Хотел как лучше, а получилось как всегда...
    Последний раз редактировалось Grower; 17.03.2011 в 23:16.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Ничего плохого в логах не увидела.

  14. #13
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    205
    Вес репутации
    61
    Подниму тему...
    Проблема теперь в следующем, компьютер не видит сеть, и его по сети тоже не видно.
    Команда netsh winsock reset исправляет это. Но не совсем - компьютер видит всех только по IP, по DNS-имени не видит. При этом менеджер LSP в AVZ вываливает кучу однотипных ошибок, типа "...file missing".
    Если эти ошибки LSP исправить (кнопкой в том же AVZ), то комп опять не видит сеть.
    Не подскажете, в каком направлении можно искать причину этих ошибок?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Если эти ошибки LSP исправить (кнопкой в том же AVZ), то комп опять не видит сеть.
    не стоит этого делать ... авз этого просто не умеет с серверной осью ... на эти ошибки не обращайте внимания так и должно быть ...
    у вас служба сервер запущена ?
    что указано в качестве днс сервера ?

  16. #15
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    205
    Вес репутации
    61
    это и есть ДНС-сервер...
    почитал интернет. Говорят от этого помогает снести/установить протокол TCP/IP...
    вот так

    Вечером буду пробовать

    Добавлено через 3 часа 31 минуту

    Ну, в общем, коварный Мелкософт в очередной раз напомнил про поговорку "Windows must die"... Приехал, сел за комп, а там всё работает! Тьху!
    Простите за беспокойство.
    Последний раз редактировалось Grower; 24.12.2010 в 18:09. Причина: Добавлено

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\50.scr - Backdoor.Win32.IRCBot.lav ( DrWEB: Win32.HLLW.Druck.5, BitDefender: Trojan.Generic.2095132, AVAST4: Win32:Inject-SW [Trj] )


  • Уважаемый(ая) Grower, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. ntoskrnl ломится в интернет
      От Змей в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 03.03.2010, 00:10
    2. root kit ядро ntoskrnl.exe
      От Large Fruit в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.01.2010, 15:10
    3. заражены ntoskrnl.exe и wininet.dll
      От nippler в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:52
    4. kernel32.dll, user32.dll, shell32.dll,ntoskrnl.exe
      От Z-first в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:03
    5. ntoskrnl.exe
      От tralala в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.01.2009, 11:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00222 seconds with 19 queries