Podejrzenie podmiany pliku ndis.sys?

Dla specjalistów Bezpieczeństwo
#1

Witam.

#2

Odinstaluj Spyware Terminator i stare wersje Java.

Uruchom Fix it i przywróć domyślny plik Hosts:

http://support.microsoft.com/kb/972034/pl

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Zainstaluj SP3 to instalator nadpisze pliki systemowe.

Service Pack 3

Internet Explorer 8

#3

Utknąłem na SP3.

#4

Zainstaluj w trybie awaryjnym bez obsługi sieci.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

#5

Na taki właśnie wpadłem pomysł…

#6

Reinstaluj sterowniki do karty sieciowej.

#7

Mam niby dwie Atheros AR5007EG i Realtek PCIa FE Family Controller. Zrobiłem reinstalkę do Realteka i dalej to samo, w menedżerze urządzeń są przy kartach sieciowych wykrzykniki i info, że Windows nie może załadować potrzebnego sterownika. Błąd 39.

#8

Pobierz plik zgodny z SP2 i podmień za pomocą Replacer.

Skopiuj do dllcache i System32:

http://sendfile.pl/214256/ndis.sys

http://traxter-online.net/replacer-podmiana-plikow-systemowych-windows-xp/

#9

Niestety… Po podmianie pliku, Windows znów przy ładowaniu częstuje bluescreenem i restartem systemu. Działa tylko w trybie awaryjnym. Cofnąć zmianę?

#10

Pobierz SPTDinst Uruchom SPTDinst i kliknij Uninstall.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż raport z tego programu.

#11

TDS: http://www.wklejto.pl/200928 wykryło to swiństwo, dałem skip

#12

Jak podmieniłeś plik skoro nadal jest zainfekowany?

Wybierz opcję leczenia Cure i zatwierdź restart.

#13

Racja, bo nadgorliwie cofnąłem system przed użyciem TDS, żeby Windows się uruchomił, sorry. Próba usunięcia TDS kończy się info: There are unprocessed malware objects.

#14

Jeżeli podmienisz plik to przecież TDSSKiller nic nie wykryje.

#15

no tak, a wtedy po podmianie Windows już nie chce wystartować.

#16

Przecież miałeś odinstalować sterownik sptd.sys, a nadal jest widoczny w raporcie z TDSSKiller.

C:\WINDOWS\Minidump

Kliknij prawym na folder Minidump -> Wyślij do… -> Folder skompresowany (zip)

Folder skompresowany wyślij na http://sendfile.pl/ i podaj link.

#17

W trybie awaryjnym (po naszej podmiance ndis.sys normalnie Windows nie staruje) folder minidump jest pusty. Podobnie po cofce systemu przed podmianą - Minidump jest pusty.

#18

Pobierz plik FIX:

http://sendfile.pl/214535/FIX.reg

Kliknij prawym na pliku FIX i wybierz Scal.

Przywróć prawidłowy plik ndis.sys i spróbuj uruchomić system.

#19

System poszedł, karty sieciowe przywrócone :wink:

#20

Wklej do OTL i kliknij Skanuj:

/md5start
ndis.sys
/md5stop

Pokaż ten log.