Помогите вылечить

**gss1234** · 31.03.2008, 14:16

Что-то качает из Интернета.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**wise-wistful** · 31.03.2008, 14:24

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ogysteo.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\DOCUME~1\LOBACH~1\LOCALS~1\Temp\Rar$EX00.515\Christmas.exe','');
 QuarantineFile('C:\Documents and Settings\Lobacheva\Application Data\ntos.exe','');
 DeleteService('runtime2');
 QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 DeleteFile('C:\Documents and Settings\Lobacheva\Application Data\ntos.exe');
 DeleteFile('C:\DOCUME~1\LOBACH~1\LOCALS~1\Temp\Rar$EX00.515\Christmas.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\ogysteo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20723

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 	F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

Повторите логи.

**gss1234** · 31.03.2008, 14:38

Карантин выслал. Новые логи вышлю по готовности.

**PavelA** · 31.03.2008, 14:43

Желательно еще Симантека обновить. На машине похоже стоит SAV2005. Если это так, то это уже реликвия.

**gss1234** · 31.03.2008, 15:26

SAV стоит 10 с базами от 26.03

Логи высылаю.

**PavelA** · 31.03.2008, 15:54

А ядро САВа какое? У нас уже 10.1.6.6010 корпоративный.

**gss1234** · 31.03.2008, 15:56

10.0.2.2000 рус. корп.

**PavelA** · 31.03.2008, 16:07

Я потому интересуюсь, что ИМХО 10-ка должна ловить этих зверей.
Это с моей системы:
c:\program files\symantec antivirus\rtvscan.exe -
Symantec AntiVirus Copyright 1991 - 2007 Symantec Corporation. All rights reserved.

c:\progra~1\symant~1\vptray.exe
Symantec AntiVirus Copyright 1991 - 2007 Symantec Corporation. All rights reserved.

У Вас же все файлы за 2005 год.

По логам:
r_server.sys - вот это поищите через AVZ.

**gss1234** · 31.03.2008, 16:12

Она и ловит. ntos - найден, удален. Качать все равно продолжает, после перезагрузки, опять найден. Cureit, полная проверка, где-то до половины, затем вылет в синий экран.

**Bratez** · 31.03.2008, 16:57

Выполните такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('c:\huadio.tmp','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys','');
 DeleteFile('c:\huadio.tmp');
BC_ImportDeletedList;
 BC_DeleteSvc('ids0005c');
 BC_DeleteSvc('ids0004C');
 BC_DeleteSvc('autorun');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите новый карантин по правилам.

Помогите вылечить (заявка № 20723)

Опции темы