Podejrzenie podmiany pliku ndis.sys?


(Komar 17) #1

Witam.


(Atis) #2

Odinstaluj Spyware Terminator i stare wersje Java.

Uruchom Fix it i przywróć domyślny plik Hosts:

http://support.microsoft.com/kb/972034/pl

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Zainstaluj SP3 to instalator nadpisze pliki systemowe.

Service Pack 3

Internet Explorer 8


(Komar 17) #3

Utknąłem na SP3.


(Atis) #4

Zainstaluj w trybie awaryjnym bez obsługi sieci.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1


(Komar 17) #5

Na taki właśnie wpadłem pomysł...


(Atis) #6

Reinstaluj sterowniki do karty sieciowej.


(Komar 17) #7

Mam niby dwie Atheros AR5007EG i Realtek PCIa FE Family Controller. Zrobiłem reinstalkę do Realteka i dalej to samo, w menedżerze urządzeń są przy kartach sieciowych wykrzykniki i info, że Windows nie może załadować potrzebnego sterownika. Błąd 39.


(Atis) #8

Pobierz plik zgodny z SP2 i podmień za pomocą Replacer.

Skopiuj do dllcache i System32:

http://sendfile.pl/214256/ndis.sys


(Komar 17) #9

Niestety... Po podmianie pliku, Windows znów przy ładowaniu częstuje bluescreenem i restartem systemu. Działa tylko w trybie awaryjnym. Cofnąć zmianę?


(Atis) #10

Pobierz SPTDinst Uruchom SPTDinst i kliknij Uninstall.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż raport z tego programu.


(Komar 17) #11

TDS: http://www.wklejto.pl/200928 wykryło to swiństwo, dałem skip


(Atis) #12

Jak podmieniłeś plik skoro nadal jest zainfekowany?

Wybierz opcję leczenia Cure i zatwierdź restart.


(Komar 17) #13

Racja, bo nadgorliwie cofnąłem system przed użyciem TDS, żeby Windows się uruchomił, sorry. Próba usunięcia TDS kończy się info: There are unprocessed malware objects.


(Atis) #14

Jeżeli podmienisz plik to przecież TDSSKiller nic nie wykryje.


(Komar 17) #15

no tak, a wtedy po podmianie Windows już nie chce wystartować.


(Atis) #16

Przecież miałeś odinstalować sterownik sptd.sys, a nadal jest widoczny w raporcie z TDSSKiller.

C:\WINDOWS\Minidump

Kliknij prawym na folder Minidump -> Wyślij do.. -> Folder skompresowany (zip)

Folder skompresowany wyślij na http://sendfile.pl/ i podaj link.


(Komar 17) #17

W trybie awaryjnym (po naszej podmiance ndis.sys normalnie Windows nie staruje) folder minidump jest pusty. Podobnie po cofce systemu przed podmianą - Minidump jest pusty.


(Atis) #18

Pobierz plik FIX:

http://sendfile.pl/214535/FIX.reg

Kliknij prawym na pliku FIX i wybierz Scal.

Przywróć prawidłowy plik ndis.sys i spróbuj uruchomić system.


(Komar 17) #19

System poszedł, karty sieciowe przywrócone :wink:


(Atis) #20

Wklej do OTL i kliknij Skanuj:

/md5start
ndis.sys
/md5stop

Pokaż ten log.