Ndis.sys - plavi error i misteriozni fajlovi na desktopu

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

Na svu srecu imam 2 windowsa na kompu pa mogu da komuniciram sa svetom kada se dogode ovakve svinjarije .

Kada pratim golotinju na burek forumu ( ovde svracam za ozbiljnije stvari ) internet explorer cesto dobija errore od kada sam prvi put u zivotu ( pre par godina ) posetio taj forum , ucitavanje stranice se zaglavi itd.

Prilikom jednog takvog errora windows se restartovao i kada se podizao pojavio se plavi ekran gde je pomenut error Ndis.sys fajla 0x000000d1 .
U poruci je pisalo da restartujem pa ako se ponovo pojavi plavi ekran da udjem u safe modu ( pokusao sam da ga restartujem 3 puta )
Presao sam na sporedni windows malo proguglao i nasao da error Ndis.sys moze da bude usled novog hardvera sa neodgovarajucim driverima , narocito usled neodgovarajucih drivera za router , nekih podesavanja mreze itd. Setio sam se da je burazer pre 2 dana cackao nesto oko mreze i palo mi je na pamet da iskljucim mrezni kabl i gle cuda windows se podigao bez problema . Na desktopu sam zatekao nekoliko misterioznih exe fajlova koje nisam tu ostavio :

d1.exe
d3.exe
d4.exe
d5.exe

chist1.exe ( ovaj se cak ni ne pominje na guglu )

Zatekao sam i poruku o tome da se sistem oporavio od ozbiljnog errora , ali se izvestaj nije puno slagao sa onim u plavom prozoru :

mycity.rs/must-login.png

Sta da radim ? ( sem da vise ne idem da gledam gole zenske na bureku )


Kratka istorija :

Pre 4 dana reinstaliran windows , instalacija je slabo koriscena , nisam nesto posebno download-ovao , nisam koristio torrente itd.

Pre 3 dana ubacen novi DvD rezac .

Pre 2 dana je burazer nesto cackao oko mreze ( umrezeni smo i korsitimo istu ADSL konekciju )

Dopuna: 14 Apr 2007 17:10

Evo sada se javljam sa problematicnog windowsa nece da se digne kada je u kompjuter uboden mrezni kabl preko kojeg je povezan sa ruterom , ali ako se iskljuci pa se onda podigne windows pa ponovo ukljuci radi bez vidljivih problema , ali internet prestane da radi vrlo brzo .

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Description: File NDIS.sys is located in the folder C:\Windows\System32\drivers. Known file sizes on Windows XP are 182912 bytes (94% of all occurrence), 167552 bytes.
The driver can be started or stopped from Services in the Control Panel or by other programs. The file is a Windows core system file. The program is not visible. It is a Microsoft signed file. The service has no detailed description. Therefore the technical security rating is 0% dangerous.


izvor....


http://www.file.net/process/ndis.sys.html

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ajde spakuj sve te fajlove koji su se pojavili na desktopu u jedan ZIP i posalji mi ih preko sledeceg linka:
http://www.mycity.rs/ambulanta-upload.php

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Na zalost izbrisao sam ih na shift + delete

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ajde postavi log programa HijackThis, da vidimo da li imamo posla sa infekcijom.

Postoji infekcija koja ubacuje lazni ndis.sys, tako da bi mogao da mi posaljes i kopiju tog fajla da je pogledam. Najverovatnije imas dve kopije na sistemu, posalji mi obe.
Pogledaj i root folder C: drajva, tj. da li tu imas neki fajlova sa ekstenzijom nls.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Postoji jedan ndis fajl i jedan sa ekstenzijom nls u C root folderu .
Uploudovao sam ih u ambulantu .

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 8:15:39 PM, on 14/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\qttask.exe
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\Program Files\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NetLimiter 2 Pro\NLClient.exe
C:\Program Files\Opera\Opera.exe
D:\wincmd\WINCMD32.EXE
D:\!DOWNLOAD\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hpgcajwhewp.dll
O17 - HKLM\System\CS1\Services\Tcpip\..\{BDD4193F-EAC3-4263-88E7-9413119539B3}: NameServer = 192.168.1.1,194.247.192.180
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RemoteShutDown Service (RemShutDownSvc) - Unknown owner - C:\WINDOWS\System32\remsdnsv.exe

--
End of file - 4275 bytes

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Daj i sledeci fajl:
c:\windows\system32\hpgcajwhewp.dll

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

hpgcajwhewp.dll uploudovan .

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Skini LSPFix: http://www.cexx.org/lspfix.htm
i pomocu njega izbaci hpgcajwhewp.dll iz WinSock lanca.
Potrebno je da stikliras checkbox prvo, pa onda u donjem levom polju kliknes jednom na ovaj sporni fajl, pa onda kliknes na >>, pa na kraju na Finish.
Time bi trebao biti resen problem sa netom.
Sporni fajl premesti u neki folder kao backup ukoliko ti ne bude radio internet kasnije. Ukoliko sve radi kako treba onda ga mozes obrisati.

Onaj NLS fajl koji si nasao, njega premesti u isto neki drugi folder, da ga imamo za rezervu ako zatreba. Ukoliko ti Windows ne dozvoli da to uradis, onda ces morati da probas iz Safe Moda.
Kasnije ga mozes obrisati ukoliko sve bude radilo kako treba.

Sto se tice onog ndis.sys, jedino sto mi je cudno je sto je jako matora verzija (ServicePack 1 za Windows). Ja bih njega najradije zamenio sa novijom verzijom iz Service Pack 2. To isto mozes uraditi iz Safe Moda ili da iz normalnog moda probas sledece:
Ides na Start > Run, pa tu ukucas CMD i stisnes enter. Otvorice se konzola u kojoj kucas sfc /scannow i stisnes enter.
Windows ce poceti sa proverom sistemskih fajlova, i nadam se da ce da otkrije da ovaj nije u redu.
Ukoliko otkrije, zatrazice ti instalacioni CD Windowsa, da sa njega pokupi potrebne fajlove.

Na samom kraju, uradi jedan restart sistema, proveri da li radi internet, i postavi mi novi HJT log.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sve je uradjeno , scanow je trazio instalaciju windowsa .

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:35:17 PM, on 14/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\qttask.exe
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
D:\wincmd\WINCMD32.EXE
C:\Program Files\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NetLimiter 2 Pro\NLClient.exe
D:\!DOWNLOAD\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\zjums.dll
O17 - HKLM\System\CS1\Services\Tcpip\..\{BDD4193F-EAC3-4263-88E7-9413119539B3}: NameServer = 192.168.1.1,194.247.192.180
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RemoteShutDown Service (RemShutDownSvc) - Unknown owner - C:\WINDOWS\System32\remsdnsv.exe