ntos, audio.dll, video.dll

**Denis79** · 16.05.2008, 15:43

Спокойно живут на компьютере при обновляемом Ноде. В безопасном Вебом немного убил ереси. Дальше - как учили. Логи прилагаются.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 16.05.2008, 15:50

Отключите антивирус!

Пофиксить

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\1\Application Data\elefundesktops\waterlily_wallpaper\sysinfo.exe','');
 QuarantineFile('C:\Documents and Settings\1\Application Data\elefundesktops\waterlily_wallpaper\wallpaper.exe','');
 QuarantineFile('C:\WINDOWS\Temp\BN15.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\BN22.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\BN13.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\BN17.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\BN16.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\BND.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\BNB.tmp','');
 QuarantineFile('WinNt32.dll','');
 QuarantineFile('C:\WINDOWS\herjek.exe','');
 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 QuarantineFile('C:\Documents and Settings\1\Application Data\ICQ Toolbar\.//..//win.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vae61.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lps37.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Hmq82.sys','');
 QuarantineFile('C:\WINDOWS\system32\baseofr32.dll','');
 DeleteService('Vae61');
 DeleteService('Hmq82');
 DeleteService('Lps37');     
 DeleteFile('C:\WINDOWS\system32\baseofr32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hmq82.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lps37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vae61.sys');
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
 DeleteFile('C:\WINDOWS\herjek.exe');
 DeleteFile('WinNt32.dll');
 DeleteFile('C:\WINDOWS\Temp\BNB.tmp');
 DeleteFile('C:\WINDOWS\Temp\BND.tmp');
 DeleteFile('C:\WINDOWS\Temp\BN16.tmp');
 DeleteFile('C:\WINDOWS\Temp\BN17.tmp');
 DeleteFile('C:\WINDOWS\Temp\BN13.tmp');
 DeleteFile('C:\WINDOWS\Temp\BN22.tmp');
 DeleteFile('C:\WINDOWS\Temp\BN15.tmp');
 BC_ImportALL;  
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22960

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Очистите временные папки,кеш браузера и повторите логи.

**Denis79** · 16.05.2008, 16:35

Пофиксил, вирусы подгрузил. Логи выполнил.

**Гриша** · 16.05.2008, 16:47

Пришлите все что найдется по этому запросу win.exe согласно приложению 2 правил

**Denis79** · 16.05.2008, 17:21

Выполнил, ничего не нашлось.

Добавлено через 28 минут

Обычным поиском тоже нет.

**Bratez** · 17.05.2008, 03:52

В папке Автозагрузка текущего пользователя два файла:
MSWin-798430714.exe
MSWin-1740139304.exe
Пришлите их по правилам.

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [advap32] "C:\Documents and Settings\1\Application Data\ICQ Toolbar\.//..//win.exe" /r

**CyberHelper** · 22.02.2009, 05:23

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 45
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\herjek.exe - Email-Worm.Win32.Zhelatin.zt (DrWEB: Trojan.Packed.460)
2. c:\\windows\\system32\\baseofr32.dll - Trojan.Win32.Obfuscated.aat
3. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.btz (DrWEB: Trojan.Packed.511)
4. c:\\windows\\temp\\bnb.tmp - Trojan-Downloader.Win32.Mutant.yi (DrWEB: BackDoor.Bulknet.18
5. c:\\windows\\temp\\bnd.tmp - Trojan-Downloader.Win32.Mutant.yi (DrWEB: BackDoor.Bulknet.18
6. c:\\windows\\temp\\bn13.tmp - Trojan-Dropper.Win32.Agent.rjl (DrWEB: BackDoor.Bulknet.18
7. c:\\windows\\temp\\bn15.tmp - Trojan-Dropper.Win32.Agent.rjl (DrWEB: BackDoor.Bulknet.18
8. c:\\windows\\temp\\bn16.tmp - Trojan-Downloader.Win32.Mutant.yi (DrWEB: BackDoor.Bulknet.18
9. c:\\windows\\temp\\bn17.tmp - Trojan-Downloader.Win32.Mutant.yi (DrWEB: BackDoor.Bulknet.18
10. c:\\windows\\temp\\bn22.tmp - Trojan-Downloader.Win32.Mutant.yi (DrWEB: BackDoor.Bulknet.18

ntos, audio.dll, video.dll (заявка № 22960)

Опции темы

ntos, audio.dll, video.dll

Итог лечения

Похожие темы

windows xp:audio/video files run very slowly

ntos.exe, audio.dll, video.dll

Genius SM-Live Series PCI Audio

Плеер для stream audio

Audio test CD.

Ваши права в разделе