-
Опять ntos
Общий привет,
комп не мой, но человек не может здесь зарегистрироваться: http://virusinfo.info/showthread.php?t=11694
Скрипт написал такой:
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_Activate;
RebootWindows(true);
end.
Не помогло. Идеи?
Спасибо.
Последний раз редактировалось Rene-gad; 02.05.2008 в 17:54.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Я бы так написал:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
I am not young enough to know everything...
-
-
@Bratez
Спасибо, попробуем. Но больше и ты ничего не нашел? Интересно было бы на файлик глянуть. Если я его получу - подвешу по правилам
-
-
C:\Programme\BHPS\Pia2\ProQuestKbdSimInterface.dll- Послать Олегу , авз его подозревает. Он уже в карантине.
Перед исполнением скрипта нужно пофиксить в hijackthis:
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
-
-
Сообщение от
drongo
C:\Programme\BHPS\Pia2\ProQuestKbdSimInterface.dll- Послать Олегу , авз его подозревает. Он уже в карантине.
Done
Перед исполнением скрипта нужно пофиксить в hijackthis:
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
Done, но не помогат...
-
-
А еще было бы неплохо человека попросить повторить лог HJT на текущей версии - http://www.trendsecure.com/portal/en...HiJackThis.zip , да и, может быть, логи, про которые Bratez здесь писал, - глядишь, чего еще и увидим
-
-
Сообщение от
Rene-gad
Done, но не помогат...
Странно, не видно что держит.Ещё раз убедиться, что службы от антивира и AVG antispyware остановлены и процессов их нет в памяти .Попробовать в сейф моде.
-
-
@ll
Я хочу надеятся, что проблема с регистрацией решится в обозримом будущем и клиент сможет здесь появиться без посредников
Всем спасибо.
даю еще ссылку на форум, знание немцкого не обязательно http://www.trojaner-board.de/42188-bitte-um-hilfe.html
-
-
C:\WINDOWS\System32\brsvc01a.exe- vas ist das ?
(это от принтера или зверь? )
-
-
Сообщение от
drongo
C:\WINDOWS\System32\brsvc01a.exe- vas ist das ?
(это от принтера или зверь? )
Brother Printer
-
-
Rene-gad, ты ему скрипт плохой дал . Там скобок не хватает.QuarantineFile(C:\WINDOWS\system32\ntos.ex e) ?
Добавлено через 4 минуты
Сообщение от
Rene-gad
Brother Printer
Собственно удостовериться, ни чего ведь не мешает зловреду подписать себя принтером
Последний раз редактировалось drongo; 15.08.2007 в 18:44.
Причина: Добавлено
-
-
Сообщение от
drongo
Rene-gad, ты ему скрипт плохой дал . Там скобок не хватает.QuarantineFile(C:\WINDOWS\system32\ntos.ex e)
Спасибо, уже исправил(ся)
-
-
@ll
Свежие логи. По-моему чистые.
EDIT: ntos.exe наверное еще вчера шандарахнули, так что в карантин ничего не попало. Наверное была проблема с Хайджеком...
Последний раз редактировалось Rene-gad; 02.05.2008 в 17:54.
-
-
По моему тоже чисто, можешь ему перевести ;-) :
Чтобы уменьшить шанс заражения,на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
-
-
Сообщение от
drongo
можешь ему перевести ;-) Чтобы уменьшить шанс заражения,на будущее...
Таких ссылок на немецком стока, что двух страниц не хватит... Но кто же их читает
Спасибо за проверку
-