Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

userinit, ntos. Эпидемия? (заявка № 22820)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    32

    Thumbs up userinit, ntos. Эпидемия?

    В общем дело ясное, что дело темное. При попытке зайти под юзером, вываливается ошибка что userinit не может быть реад и как следствие все остальное (почта, обозреватель, диспетчер задач и т.д). курейт под локальным админом ничего не находит, но я вижу в профиле юзера ntos.exe, video.dll, audio.dll. завалил при помощи авз, но записи в реестре пофиксить не могу. логи авз прикладываю. звонили с территории, появилась вторая машина, симптомы теже
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    В логах никаких следов заражения.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    В логах чисто....

    Или логи под локальным админом?
    Microsoft Most Valuable Professional in Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    32
    логи под лок.админом

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от y_gabov Посмотреть сообщение
    логи под лок.админом
    Удалите зараженного юзера полностью. Какие-то важные документы можно сохранить в сети и просканить антивирусом со свежими базами.

  7. #6
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    32
    я курейт носом в ntos тыкал, все гут говорит. ntos и dll удалил при помощи авз.
    ключи в реестре остались
    Запущен поиск ключей, содержащих образец "ntos"
    -- Поиск в HKEY_CURRENT_USER --
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ComDlg32\OpenSaveMRU\*\a = C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ComDlg32\OpenSaveMRU\exe\a = C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от y_gabov Посмотреть сообщение
    Запущен поиск ключей, содержащих образец "ntos"
    -- Поиск в HKEY_CURRENT_USER --
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ComDlg32\OpenSaveMRU\*\a = C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\ComDlg32\OpenSaveMRU\exe\a = C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe
    Удалите их со спокойной совестью Попробуйте все-таки загрузиться как юзер V_Shelepilo и сделать логи.

  9. #8
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    32
    ужо пробую зайти
    зашел
    логи будут через пару минут. пока тихо (((
    неужели я победил?

  10. #9
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    32
    вот и логи
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Пофиксите
    Код:
    O4 - HKCU\..\Run: [userinit] C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe','');
     DeleteFile('C:\Documents and Settings\V_Shelepilo\Application Data\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки карантин и логи - в студию. Попробуте загрузиться в нормальном режиме.

  12. #11
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    32
    логи были в нормальном режиме

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от y_gabov Посмотреть сообщение
    логи были в нормальном режиме
    и при этом - ни одного работающего процесса svchost.exe? Может быть из-за того, что АВЗ с D: запускался. Попробуйте с C: запустить.

  14. #13
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    32
    свежие логи
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    логи делать под пользователем с правами администратора ....

  16. #15
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    32
    вот логи под админом
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах чисто ...

  18. #17
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    32
    с карантином как?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от y_gabov Посмотреть сообщение
    неужели я победил?
    Похоже, что таки да .
    Можем ходатайствовать перед администрацией, зачислить Вас в группу Хелперов без экзаменов, если хотите .

  20. #19
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    11
    Вес репутации
    32
    )))) ну уж нет, рано
    итак каков будет алгоритм проверки\лечения второй машины с теми же симптомами:
    курейт. мало вероятно, но все же
    скрипт лечения
    отложеннное удаленние нтос и dll
    чистка реестра
    пофиксивание userinit
    все под админом

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    как вариант сделать логи ...
    затем скрипт сделает все пункты сразу ...

  • Уважаемый(ая) y_gabov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 29.04.2012, 01:11
    2. Ответов: 2
      Последнее сообщение: 13.08.2011, 22:44
    3. Ответов: 10
      Последнее сообщение: 17.01.2010, 01:37
    4. Ответов: 8
      Последнее сообщение: 16.01.2010, 21:23
    5. Ответов: 9
      Последнее сообщение: 09.02.2007, 03:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00644 seconds with 22 queries