Файл nbs07.sys

3 июня, 2008

Здравствуйте!

У меня такая проблема! Поймала вирус. Он жутко размножился - появилась целая куча файлов *.sys, которые находит Касперский, но хуже всего то, что он не только не может их вылечить, но, похоже, сам повредился. Он пишет, что файл svhost.exe не может соединиться с интернетом, и что какой-то процесс блокирует avp.exe. Получается такая картина:

1. Загружается Касперский;

2. пишет про svchost.exe и avp.exe;

3. вываливает один да другим красные уведомления, что я только и успеваю нажимать "Запретить";

4. а потом пишет, что найден файл nbs07.sys и спрашивает "Лечить" или "Игнорировать".

5. я нажимаю "Лечить" и сразу же комп сам по себе перезагружается;

6. после перезагрузки все сначала.

У меня еще такой вопрос. У меня куплен лицензионный ключ на один год. Если я переустановлю антивирус, то этот ключ подойдет или он только на 1 установку?

Кстати, я забыла написать, а это может быть важно. Вирус установился в момент обновления. Они совпали по времени. Касперский может быть уезвимым во время обновления?

Изменено 4 июня, 2008 пользователем Tatyana

3 июня, 2008

Здравствуйте!

Вы не пробовали загрузить систему в безопасном режиме и провести проверку компьютера?

Выполните, пожалуйста, вот эти правила.

Ключ можно использовать в течение срока его действия независимо от количества переустановок продукта.

Изменено 3 июня, 2008 пользователем MedvedevUnited

3 июня, 2008

Если возможно, отошлите один из этих *.sys на khooly@rambler.ru

Повреждение avp.exe - вполне возможно т.к. в режиме ядра (а там и находится вредонос) - ограничений нет. (с) Уолтер Они

3 июня, 2008

Вы не пробовали загрузить систему в безопасном режиме и провести проаерку компьютера?

Скажем так: я не очень разбираюсь в "мозгах" компьютера - я рядовой пользователь. Когда все работает, то все чудесно, но если подобные проблемы, то я не знаю, что делать, и, честно говоря, боюсь экспериментировать, но я попробую.

Выполните, пожалуйста, вот эти правила.

Ничего себе... Попробую разобраться...

Если возможно, отошлите один из этих *.sys на khooly@rambler.ru

А как это сделать?

Повреждение avp.exe - вполне возможно т.к. в режиме ядра (а там и находится вредонос) - ограничений нет. (с) Уолтер Они

А если я переустановлю Касперского, но вирус перед этим не удалю, то он при установке снова повредится?

3 июня, 2008

А если я переустановлю Касперского, но вирус перед этим не удалю, то он при установке снова повредится?

Да, вполне такое может быть.

3 июня, 2008

Кстати, я забыла написать, а это может быть важно. Вирус установился в момент обновления. Они совпали по времени. Касперский может быть уезвимым во время обновления?

В обновлении пришла запись о новом вирусе, который сразу же обнаружился после применения обновлений.

3 июня, 2008

У меня еще такой вопрос. У меня куплен лицензионный ключ на один год. Если я переустановлю антивирус, то этот ключ подойдет или он только на 1 установку?

всё пучком будет, главное не забудьте переписать ваш персональный номер

да и вообще, коли как вы говорите у вас лицензия, прошу сюда http://www.kaspersky.ru/support

тут вам стопудняк помогут

4 июня, 2008

да и вообще, коли как вы говорите у вас лицензия, прошу сюда

Я попробую сначала выполнить условия оформления запроса, ведь, наверное, туда все равно придется писать все данные. Кстати, похоже, что эти файлы *.sys - это не сама суть проблемы. Вчера я другим антивирусом нашла штук 12 Trojan-Downloader'ов. С ними реально бороться вообще? А то с утра был 1, а вечером уже 12. Они, похоже, невероятно быстро плодятся.

Изменено 4 июня, 2008 пользователем Tatyana

4 июня, 2008

С ними реально бороться вообще? А то с утра был 1, а вечером уже 12. Они, похоже, невероятно быстро плодяться.

Trojan-Downloader - троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).

Бороться с ними вполне реально, если бороться правильно

4 июня, 2008

Я выполнила эти правила. Вот логи. Суть проблемы я изложила выше. Жду дальнейших инструкций.

Кстати, из-за проблем с моим лицензионным Касперским, я боюсь его запускать. Я проверила онлайновой версией важные секторы. Он ничего не нашел, но отчет я сохранила. Если нужно, могу его тоже добавить.

И еще такой вопрос. По инструкции я выключила восстановление системы. Когда эту функцию можно будет включить?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

sysinfo.zip

4 июня, 2008

Windows XP:
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)

Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).

Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)

Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Wva38', 4);
SetServiceStart('tcpsr', 4);
SetServiceStart('rxU78', 4);
SetServiceStart('Rfu78', 4);
SetServiceStart('opX80', 4);
SetServiceStart('neR70', 4);
SetServiceStart('ndC57', 4);
SetServiceStart('Nbs07', 4);
SetServiceStart('Mpx48', 4);
SetServiceStart('jswmidin', 4);
SetServiceStart('Hru68', 4);
SetServiceStart('Bmc33', 4);
SetServiceStart('bnM44', 4);
SetServiceStart('msupdate', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
QuarantineFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys','');
QuarantineFile('c:\program files\gotview\remote.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Bmc33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bnM44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hru68.sys');
DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mpx48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nbs07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ndC57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\neR70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\opX80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rfu78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\rxU78.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wva38.sys');
DeleteService('Wva38');
DeleteService('tcpsr');
DeleteService('rxU78');
DeleteService('msupdate');
DeleteService('bnM44');
DeleteService('Bmc33');
DeleteService('Hru68');
DeleteService('jswmidin');
DeleteService('Mpx48');
DeleteService('Nbs07');
DeleteService('ndC57');
DeleteService('neR70');
DeleteService('opX80');
DeleteService('Rfu78');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
BC_ImportALL;
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

4 июня, 2008

После выполнения скрипта компьютер перезагрузится.

Здесь возникла проблема. Компьютер, вроде, пошел на перезагрузку, вырубились все ярлыки на рабочем столе, все вообще исчезло, кроме самого рабочего стола. Он где-то минуту так провисел, и мне пришлось нажать кнопку перезагрузки на корпусе. Это ошибка? А архив карантина нормально сделался. Сейчас пришлю.

4 июня, 2008

Ничего страшного.....логи повторите.

4 июня, 2008

логи повторите

В каком смысле?

4 июня, 2008

Выполните все действия для получения

virusinfo_syscure.zip 
virusinfo_syscheck.zip 
hijackthis.zip
sysinfo.zip

Т.е. мне необходимо посмотреть как отработала AVZ и прописать дальнейший курс лечения.

Файл nbs07.sys

Рекомендуемые сообщения

Tatyana

Ссылка на комментарий

Поделиться на другие сайты

MedvedevUnited

Ссылка на комментарий

Поделиться на другие сайты

Vsoft

Ссылка на комментарий

Поделиться на другие сайты

Tatyana

Ссылка на комментарий

Поделиться на другие сайты

MedvedevUnited

Ссылка на комментарий

Поделиться на другие сайты

MiStr

Ссылка на комментарий

Поделиться на другие сайты

апкиш

Ссылка на комментарий

Поделиться на другие сайты

Tatyana

Ссылка на комментарий

Поделиться на другие сайты

Falcon

Ссылка на комментарий

Поделиться на другие сайты

Tatyana

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

Tatyana

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

Tatyana

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum