-
Junior Member
- Вес репутации
- 61
ntos и т.п.
Добрый день.
Возникла проблема.
После загрузки комп ругнулся на неизвестный мне файл, я пробежался по автозапуску и обнаружил несколько подозрительных файлов. В том числе ntos.exe. Больше сделать ничего не успел, т.к. комп ушел в перезагрузку.
В безопасном режиме попытался избавится от чего смог, но попытка загрузиться в обычном режиме по-прежнему приводит к перезагрузке.
Перезагрузка происходит в момент, когда система уже полностью загрузилась.
Помогите, пожалуйста!
Последний раз редактировалось Dexer; 28.04.2008 в 15:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Nat.OKA\Local Settings\Temporary Internet Files\Content.IE5\2TSF25I5\access[1].htm','');
QuarantineFile('C:\WINDOWS\system32\ntos','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('Ip6Fw.sys','');
QuarantineFile('C:\DOCUME~1\Nat.OKA\LOCALS~1\Temp\1.tmp','');
QuarantineFile('Uoj35.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uoj35.sys','');
DeleteFile('Uoj35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uoj35.sys');
DeleteFile('C:\WINDOWS\system32\ntos');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Documents and Settings\Nat.OKA\Local Settings\Temporary Internet Files\Content.IE5\2TSF25I5\access[1].htm');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22165 ).
Если по-прежнему не будет заходить в обычный режим, то сделайте такой лог: http://virusinfo.info/showthread.php?t=10387
-
-
Junior Member
- Вес репутации
- 61
Теперь перезагрузка происходит уже на этапе входа в систему.
Логи приложил.
Последний раз редактировалось Dexer; 28.04.2008 в 15:16.
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=
Попробуйте после этого перезагрузиться в обычный режим.
-
-
Junior Member
- Вес репутации
- 61
Перезагруз в том же месте.
-
C:\WINDOWS\system32\ntos.exe - Trojan-Spy.Win32.Zbot.bdg
C:\Documents and Settings\Nat.OKA\Local Settings\Temporary Internet Files\Content.IE5\2TSF25I5\access[1].htm - not-a-virus: Porn-Dialer.Win32.GBDialer.j
C:\DOCUME~1\Nat.OKA\LOCALS~1\Temp\1.tmp - детектится многими на ВирусТотал.
C:\WINDOWS\System32\Drivers\Uoj35.sys - Rootkit.Win32.Agent.aih
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Nat.OKA\LOCALS~1\Temp\1.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('AcrSch2Svc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Как проблема?
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 61
После выполнения скрипта проблема осталась.
Готовлю новые логи.
-
Junior Member
- Вес репутации
- 61
При попытке загрузки свежих логов сайт выдает сообщение: эти файлы уже были загружены в данной теме.
Переименование файлов (добавление цифры 2 в конец наименований) не решает проблемы.
Последний раз редактировалось Dexer; 28.04.2008 в 15:16.
-
Удалите старые логи через "Мой кабинет"=>"Управление вложениями"
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Dexer; 28.04.2008 в 20:05.
-
Отключите восстановление системы, как написано в правилах!
Гадость восстановилась.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Ip6Fw.sys','');
DeleteFile('C:\Documents and Settings\Nat.OKA\Local Settings\Temporary Internet Files\Content.IE5\2TSF25I5\access[1].htm');
DeleteFile('C:\DOCUME~1\Nat.OKA\LOCALS~1\Temp\1.tmp');
DeleteFile('Uoj35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uoj35.sys');
DeleteFile('C:\WINDOWS\system32\ntos');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('Ip6Fw');
BC_DeleteSvc('AcrSch2Svc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин.
Сделайте новые логи.
Проблема осталась?
-
-
Junior Member
- Вес репутации
- 61
Отключить не могу.
Система говорит, что "...это сделать невозможно. Попробуйте перезагрузиться и повторить попытку". Естественно после перезагрузки та же фигня.
-
Для верности еще такой скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Uoj35');
SetServiceStart('Uoj35', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
DeleteFile('C:\DOCUME~1\Nat.OKA\LOCALS~1\Temp\1.tmp');
DeleteFile('C:\WINDOWS\system32\ntos');
DeleteFile('C:\Documents and Settings\Nat.OKA\Local Settings\Temporary Internet Files\Content.IE5\2TSF25I5\access[1].htm');
DeleteFile('C:\WINDOWS\system32\Drivers\Uoj35.sys');
BC_ImportALL;
BC_DeleteSvc('AcrSch2Svc');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('Uoj35');
ExecuteSysClean;
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-', 'userinit');
BC_Activate;
RebootWindows(true);
end.
А потом уже пришлите карантин и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
СПАСИБО!
Выполнил оба скрипта.
Система загрузилась нормально.
Восстановление отключено (в нормальном режиме - не safe mode).
Для верности еще сделаю и выложу логи.
-
А карантин новый не отправили?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Выкладываю свежие логи.
Карантин отправил.
Последний раз редактировалось Dexer; 19.01.2010 в 08:29.
-
в логах ничего зловредного ...
-
-
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Какие-то проблемы остались ?
-
-
Junior Member
- Вес репутации
- 61
Видимых проблем не осталось.
Осталась кучка файлов, которые были прописаны в автозапуск.
AVZ их не считает гадостью, а NAV ругается.
Если нужно могу запаковать и выслать.
-
-