• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Неудаляемый вирус

  • Автор темы Автор темы Konoe
  • Дата начала Дата начала
Konoe

Konoe

Новые
Регистрация
19 Ноя 2009
Сообщения
81
Реакции
1
Баллы
0
Здравствуйте!
Сегодня аваст, сразу же после включения компьютера, выдал сообщение о вирусе.
Обнаружен Malware!
Имя файла:C:\WINDOWS\SYSTEM32\NTDLL.DLL
Имя вируса:Win32:Rootkit-gen [Rtk]
Тип вируса: Руткит
Версия VSP:0719-1, 19.07.2010
Файл невозможно удалить или поместить в хранилище авастом, если менять свойства в тотал командер, все равно не удаляется. К тому же аваст выдает довольно странный совет: если нажать кнопку "ничего не делать", malware НЕ будет активировано. В данный момент качаю бесплатный доктор веб, но не уверена, что он тоже может удалить файл.
Пожалуйста, подскажите как удалить вирус и можно ли это сделать, если файл системный, загружается вместе с компьютером(наверное)?

Доктор веб не загружается, выдавая на разных стадиях загрузки сообщение: Msiexec.exe - обнаружена ошибка. Приложение будет закрыть. Приносим извинения за неудобства.
Возможно это потому, что на компьютере путаница с языками и загрузка антивируса идет наполовину на японском, наполовину на английском.
 
Доктор веб ничего в этом файле не нашел.

Файл C:\WINDOWS\SYSTEM32\NTDLL.DLL
Описание: Системная библиотека NT
Производитель: Корпорация Майкрософт
Версия файла: 5.1.2600.3520
Дата создания 02.03.2006 15:00
Размер: 702 кб
Операционная система Microsoft® Windows®
Его вообще можно удалять?
 
Этот файл нельзя удалять, т.к. он является системной библиотекой, отвечающей в NT системах за прерывания при обращении к ядру. Тем более drweb там ничего не нашел.
 
Но аваст же нашел, значит все-таки вирус есть.
Насколько я понимаю из википедии Руткит - это набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
И вы предлагаете это так и оставить? Подскажите, пожалуйста, что делать.
 
Можно попробовать взять копию файла аналогичной версии, загрузиться с любого live-CD и заменить файл.
 
Копию в интернете скачать? Я не уверена в безопасности подобных объектов.

Из того, что я нашла в интернете следует, что руткит перехватывает управление системными вызовами, поэтому, обычно лечение необходимо не из под заражённой системы.(?) Другого компьютера у меня нет.

А что делать с тем, что компьютер взломан?
 
Konoe написал(а):
Копию в интернете скачать? Я не уверена в безопасности подобных объектов.
Нажмите для раскрытия...
Хуже уже не будет - попробуйте.
Из того, что я нашла в интернете следует, что руткит перехватывает управление системными вызовами, поэтому, обычно лечение необходимо не из под заражённой системы.(?)
Нажмите для раскрытия...
Вот LiveCD и есть незараженная система.
А что делать с тем, что компьютер взломан?
Нажмите для раскрытия...
Бороться с руткитом до победы.
 
Может у меня паранойя, но неизвестно, что в интернете выкладывают...

Vladimir_S, простите, может я что-то не понимаю, но разве скачка фалов из интернета - это не системный вызов?
 
Конечно не в интернете! Я имел в виду другой компьютер с аналогичной ОС. К сожалению, у меня тоже нет именно такой версии файла.

Если есть дистрибутив Виндов, то можно взять файл оттуда. Заменить текущий можно также загрузив комп с Live-CD.
 
Zdravko, я вообще в компьютерах ничего не понимаю, поэтому простите за глупый вопрос: дистрибутив Виндовс- это диск с установкой виндовс? Если да, то такой диск имеется, но я понятия не имею как из него взять нужный файл.
 
Да, нужен именно тот диск, с которого производилась установка. Надо его открыть, зайти в каталог I386 и там найти файл ntdll.dll, который надо скопировать с заменой в каталог C:\windows\system32. Но из-под самой системы этого сделать не получится, поэтому нужно загрузиться, минуя установленную на компьютере ОС, например с загрузочного диска, на котором находится портабельная версия Windows или другой ОС. Такой диск называется Live-CD. Загрузившись с такого диска, вы получите другую ОС на своем компьютере, из-под которой можно производить любые операции с файловой системой, а также ещё раз запустить Dr.Web CureIt.
 
Zdravko написал(а):
Но из-под самой системы этого сделать не получится, поэтому нужно загрузиться, минуя установленную на компьютере ОС, например с загрузочного диска, на котором находится портабельная версия Windows или другой ОС.
Нажмите для раскрытия...
Можно подробнее или более доступным языком(разжуйте, пожалуйста, чайнику)? Другими словами, если я просто открою с диска получиться или нет?
 
Вы имеете ввиду зайти через Bios?
 
Konoe написал(а):
Вы имеете ввиду зайти через Bios?
Нажмите для раскрытия...

В БИОС тоже надо, чтобы настроить первоначальную загрузку с CD-ROM.
Затем надо скачать образ загрузочного Live-CD (самый популярный - Infra CD), записать его на болванку и с него загрузиться.

Потом уже можно производить всяческие манипуляции с файлами. В интернете есть какие-то образы live-CD: ВОТ или ВОТ

Если хотите, я могу сделать образ диска, который есть у меня, выложить в инете и прислать Вам ссылку. Вам надо будет восстановить этот образ (Infro.iso) на болванку.

Кстати, у Др.Веб есть ещё загрузочный диск со сканером.

ССЫЛКА

Можно с него загрузиться и просканироваться - может результат будет иным.

Уважаемый Zdravko, постарайтесь не плодить посты, ведь можно всё умещать в одном, да и к тому же у Вас достаточно времени на редактирование. Модератор.
 
Zdravko написал(а):
Если хотите, я могу сделать образ диска, который есть у меня, выложить в инете и прислать Вам ссылку. Вам надо будет восстановить этот образ (Infro.iso) на болванку.
Нажмите для раскрытия...
Спасибо, было бы здорово.
 
Ещё более простой вариант. Копируем подозрительный файл и отправляем на проверку.
Могу принять посильное участие - почта porvir@yandex.ru. Специально для таких случаев сделана.
 
groks, спасибо отправила! Буду ждать результатов.
 
Получил. Доктор 6 - отрицательно, Каспер 7 - отрицательно, Каспер 2010 - отрицательно, Зайцев - отрицательно. Базы сегодняшние.
Можно успокоится. Кстати - после очередного обновления и Аваст исправится.
Но это не даёт гарантии того, что вирусов нет совсем. Чист именно этот файл.
CureIt от Данилова обычно хорошо находит.
 
Спасибо всем, кто отвечал в этой теме :tehnari_ru_140:! Просканировала авастом( обнавленным) и доктором: на компьютере нет виросов вообще)
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху