Файл nbs07.sys

[Tatyana]

Здравствуйте!

У меня такая проблема! Поймала вирус. Он жутко размножился - появилась целая куча файлов *.sys, которые находит Касперский, но хуже всего то, что он не только не может их вылечить, но, похоже, сам повредился. Он пишет, что файл svhost.exe не может соединиться с интернетом, и что какой-то процесс блокирует avp.exe. Получается такая картина:

1. Загружается Касперский;

2. пишет про svchost.exe и avp.exe;

3. вываливает один да другим красные уведомления, что я только и успеваю нажимать "Запретить";

4. а потом пишет, что найден файл nbs07.sys и спрашивает "Лечить" или "Игнорировать".

5. я нажимаю "Лечить" и сразу же комп сам по себе перезагружается;

6. после перезагрузки все сначала.

 

У меня еще такой вопрос. У меня куплен лицензионный ключ на один год. Если я переустановлю антивирус, то этот ключ подойдет или он только на 1 установку?

 

Кстати, я забыла написать, а это может быть важно. Вирус установился в момент обновления. Они совпали по времени. Касперский может быть уезвимым во время обновления?

Изменено 4 июня, 2008 пользователем Tatyana

[MedvedevUnited]

Здравствуйте!

 

Вы не пробовали загрузить систему в безопасном режиме и провести проверку компьютера?

Выполните, пожалуйста, вот эти правила.

 

Ключ можно использовать в течение срока его действия независимо от количества переустановок продукта.

Изменено 3 июня, 2008 пользователем MedvedevUnited

[Vsoft]

Если возможно, отошлите один из этих *.sys на khooly@rambler.ru

Повреждение avp.exe - вполне возможно т.к. в режиме ядра (а там и находится вредонос) - ограничений нет. (с) Уолтер Они

[Tatyana]

Вы не пробовали загрузить систему в безопасном режиме и провести проаерку компьютера?

Скажем так: я не очень разбираюсь в "мозгах" компьютера - я рядовой пользователь. Когда все работает, то все чудесно, но если подобные проблемы, то я не знаю, что делать, и, честно говоря, боюсь экспериментировать, но я попробую.

Выполните, пожалуйста, вот эти правила.

Ничего себе... Попробую разобраться...

 

Если возможно, отошлите один из этих *.sys на khooly@rambler.ru

А как это сделать?

Повреждение avp.exe - вполне возможно т.к. в режиме ядра (а там и находится вредонос) - ограничений нет. (с) Уолтер Они

А если я переустановлю Касперского, но вирус перед этим не удалю, то он при установке снова повредится?

[MedvedevUnited]

А если я переустановлю Касперского, но вирус перед этим не удалю, то он при установке снова повредится?

 

Да, вполне такое может быть.

[MiStr]

Кстати, я забыла написать, а это может быть важно. Вирус установился в момент обновления. Они совпали по времени. Касперский может быть уезвимым во время обновления?

В обновлении пришла запись о новом вирусе, который сразу же обнаружился после применения обновлений.

[апкиш]

У меня еще такой вопрос. У меня куплен лицензионный ключ на один год. Если я переустановлю антивирус, то этот ключ подойдет или он только на 1 установку?

всё пучком будет, главное не забудьте переписать ваш персональный номер

да и вообще, коли как вы говорите у вас лицензия, прошу сюда http://www.kaspersky.ru/support

тут вам стопудняк помогут

[Tatyana]

да и вообще, коли как вы говорите у вас лицензия, прошу сюда

Я попробую сначала выполнить условия оформления запроса, ведь, наверное, туда все равно придется писать все данные. Кстати, похоже, что эти файлы *.sys - это не сама суть проблемы. Вчера я другим антивирусом нашла штук 12 Trojan-Downloader'ов. С ними реально бороться вообще? А то с утра был 1, а вечером уже 12. Они, похоже, невероятно быстро плодятся.

Изменено 4 июня, 2008 пользователем Tatyana

[Falcon]

С ними реально бороться вообще? А то с утра был 1, а вечером уже 12. Они, похоже, невероятно быстро плодяться.

Trojan-Downloader - троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).

 

Бороться с ними вполне реально, если бороться правильно

[Tatyana]

Я выполнила эти правила. Вот логи. Суть проблемы я изложила выше. Жду дальнейших инструкций.

 

Кстати, из-за проблем с моим лицензионным Касперским, я боюсь его запускать. Я проверила онлайновой версией важные секторы. Он ничего не нашел, но отчет я сохранила. Если нужно, могу его тоже добавить.

 

И еще такой вопрос. По инструкции я выключила восстановление системы. Когда эту функцию можно будет включить?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

sysinfo.zip

[akoK]

Windows XP:

Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)

Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).

Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)

Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Wva38', 4);
SetServiceStart('tcpsr', 4);
SetServiceStart('rxU78', 4);
SetServiceStart('Rfu78', 4);
SetServiceStart('opX80', 4);
SetServiceStart('neR70', 4);
SetServiceStart('ndC57', 4);
SetServiceStart('Nbs07', 4);
SetServiceStart('Mpx48', 4);
SetServiceStart('jswmidin', 4);
SetServiceStart('Hru68', 4);
SetServiceStart('Bmc33', 4);
SetServiceStart('bnM44', 4);
SetServiceStart('msupdate', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
QuarantineFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys','');
QuarantineFile('c:\program files\gotview\remote.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Bmc33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bnM44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hru68.sys');
DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mpx48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nbs07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ndC57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\neR70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\opX80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rfu78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\rxU78.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wva38.sys');
DeleteService('Wva38');
DeleteService('tcpsr');
DeleteService('rxU78');
DeleteService('msupdate');
DeleteService('bnM44');
DeleteService('Bmc33');
DeleteService('Hru68');
DeleteService('jswmidin');
DeleteService('Mpx48');
DeleteService('Nbs07');
DeleteService('ndC57');
DeleteService('neR70');
DeleteService('opX80');
DeleteService('Rfu78');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
BC_ImportALL;
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

[Tatyana]

После выполнения скрипта компьютер перезагрузится.

Здесь возникла проблема. Компьютер, вроде, пошел на перезагрузку, вырубились все ярлыки на рабочем столе, все вообще исчезло, кроме самого рабочего стола. Он где-то минуту так провисел, и мне пришлось нажать кнопку перезагрузки на корпусе. Это ошибка? А архив карантина нормально сделался. Сейчас пришлю.

[akoK]

Ничего страшного.....логи повторите.

[Tatyana]

логи повторите

В каком смысле?

[akoK]

Выполните все действия для получения

virusinfo_syscure.zip 
virusinfo_syscheck.zip 
hijackthis.zip
sysinfo.zip

 

Т.е. мне необходимо посмотреть как отработала AVZ и прописать дальнейший курс лечения.