Podejrzenie podmiany pliku ndis.sys?

OTL: http://www.wklejto.pl/200965

Pobierz plik i zapisz bezpośrednio na C - C:\ndis.sys

http://sendfile.pl/214256/ndis.sys

Pobierz i uruchom The Avenger

Do okna programu wklej:

Files to delete:
C:\WINDOWS\System32\drivers\ndis.backup
Files to move:
C:\ndis.sys | C:\Windows\system32\drivers\ndis.sys

Kliknij w Execute i zatwierdź restart.

Pokaż raport z usuwania z The Avenger.

Uruchom OTL i kliknij Nic.

Wklej i kliknij Skanuj:

/md5start
ndis.sys
/md5stop

Pokaż ten log.

Pobierz i uruchom Gmer (Download EXE)

Na czas skanowania wyłącz wszystkie programy.

Nie zmieniaj żadnych ustawień tylko kliknij Szukaj.

Po zakończeniu skanowania kliknij Zapisz i pokaż raport.

Jestem na etapie początkowym, nie mogę zapisać ndis.sys na C. “Sprawdź czy dysk nie jest zapełniony lub chroniony przed zapisem oraz czy plik nie jest aktualnie używany.” Robię to jako administrator, w trybie awaryjnym też nic z tego.

Pobierz i zapisz na C:

http://sendfile.pl/214707/1.sys

Pobierz i uruchom The Avenger

Do okna programu wklej:

Files to delete:
C:\WINDOWS\System32\drivers\ndis.backup
Files to move:
C:\1.sys | C:\Windows\system32\drivers\ndis.sys

Kliknij w Execute i zatwierdź restart.

Pokaż raport z usuwania z The Avenger.

The Avenger: http://www.wklejto.pl/200987

 

Wszystkie programy > Akcesoria > Narzędzia systemowe > Przywracanie systemu > Utwórz punkt

Wyłącz wszystkie programy i uruchom ComboFix:

http://www.bleepingcomputer.com/download/combofix/

Pokaż raport z tego programu.

ComboFix: http://www.wklejto.pl/200996

Wklej do OTL i kliknij Skanuj:

/md5start
ndis.sys
/md5stop

Pokaż ten log.

OTL: http://www.wklejto.pl/200997

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RTS5121.sys -- (RSUSBSTOR)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ja\USTAWI~1\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON)
[2014-05-15 00:00:16 | 000,182,912 | ---- | C] (Microsoft Corporation) -- C:\1.sys
[2014-05-14 18:37:34 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2014-04-26 14:13:00 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2014-04-25 17:02:52 | 000,000,000 | ---D | C] -- C:\Program Files\SiteFinder
[2014-05-06 22:13:27 | 000,450,621 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.old
[2014-05-07 18:39:23 | 000,000,000 | ---D | C] -- C:\Avenger
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

raport: http://www.wklejto.pl/200998

Start -> Uruchom (logo Windows + R) -> do okienka Uruchamianie wklej to:

“G:\ComboFix.exe” /uninstall

Uruchom OTL i kliknij Sprzątanie.

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Dr.Web CureIt

Zrobione. Wszystko gra. Myślisz, że spróbować raz jeszcze SP3 zainstalować?

Infekcja została usunięta, więc możesz spróbować zainstalować SP3.

RegBak pozwala utworzyć pełną kopię rejestru i później przywrócić w razie problemów.