Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

userinit, ntos. Эпидемия? (заявка № 22820)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    58

    Thumbs up userinit, ntos. Эпидемия?

    В общем дело ясное, что дело темное. При попытке зайти под юзером, вываливается ошибка что userinit не может быть реад и как следствие все остальное (почта, обозреватель, диспетчер задач и т.д). курейт под локальным админом ничего не находит, но я вижу в профиле юзера ntos.exe, video.dll, audio.dll. завалил при помощи авз, но записи в реестре пофиксить не могу. логи авз прикладываю. звонили с территории, появилась вторая машина, симптомы теже
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах никаких следов заражения.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    В логах чисто....

    Или логи под локальным админом?
    Microsoft Most Valuable Professional in Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    58
    логи под лок.админом

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от y_gabov Посмотреть сообщение
    логи под лок.админом
    Удалите зараженного юзера полностью. Какие-то важные документы можно сохранить в сети и просканить антивирусом со свежими базами.

  7. #6
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    58
    я курейт носом в ntos тыкал, все гут говорит. ntos и dll удалил при помощи авз.
    ключи в реестре остались
    Запущен поиск ключей, содержащих образец "ntos"
    -- Поиск в HKEY_CURRENT_USER --
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ComDlg32\OpenSaveMRU\*\a = C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ComDlg32\OpenSaveMRU\exe\a = C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от y_gabov Посмотреть сообщение
    Запущен поиск ключей, содержащих образец "ntos"
    -- Поиск в HKEY_CURRENT_USER --
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ComDlg32\OpenSaveMRU\*\a = C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ComDlg32\OpenSaveMRU\exe\a = C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe
    Удалите их со спокойной совестью Попробуйте все-таки загрузиться как юзер V_Shelepilo и сделать логи.

  9. #8
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    58
    ужо пробую зайти
    зашел
    логи будут через пару минут. пока тихо (((
    неужели я победил?

  10. #9
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    58
    вот и логи
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Пофиксите
    Код:
    O4 - HKCU\..\Run: [userinit] C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe','');
     DeleteFile('C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки карантин и логи - в студию. Попробуте загрузиться в нормальном режиме.

  12. #11
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    58
    логи были в нормальном режиме

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от y_gabov Посмотреть сообщение
    логи были в нормальном режиме
    и при этом - ни одного работающего процесса svchost.exe? Может быть из-за того, что АВЗ с D: запускался. Попробуйте с C: запустить.

  14. #13
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    58
    свежие логи
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    логи делать под пользователем с правами администратора ....

  16. #15
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    58
    вот логи под админом
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах чисто ...

  18. #17
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    58
    с карантином как?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от y_gabov Посмотреть сообщение
    неужели я победил?
    Похоже, что таки да .
    Можем ходатайствовать перед администрацией, зачислить Вас в группу Хелперов без экзаменов, если хотите .

  20. #19
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    58
    )))) ну уж нет, рано
    итак каков будет алгоритм проверки\лечения второй машины с теми же симптомами:
    курейт. мало вероятно, но все же
    скрипт лечения
    отложеннное удаленние нтос и dll
    чистка реестра
    пофиксивание userinit
    все под админом

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    как вариант сделать логи ...
    затем скрипт сделает все пункты сразу ...

  • Уважаемый(ая) y_gabov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 29.04.2012, 01:11
    2. Ответов: 2
      Последнее сообщение: 13.08.2011, 22:44
    3. Ответов: 10
      Последнее сообщение: 17.01.2010, 01:37
    4. Ответов: 8
      Последнее сообщение: 16.01.2010, 21:23
    5. Ответов: 9
      Последнее сообщение: 09.02.2007, 03:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01140 seconds with 20 queries