Junior Member
Вес репутации
58
Вирусы (как минимум ntos.exe)
Сканирование системы Norton Sequrity Scan (бесплатный бонус к какой-то проге) показало наличие вирусных файлов:
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
В системном реестре упоминается также о, как я понимаю, их составляющей
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C: \\WINDOWS\\system32\\ntos.exe,"
(сам файл отсутствовал ntos.exe)
Полное сканирование DrWeb-ом показало наличие и других заражённых файлов. Загрузившись с системного CD поудалял их. Но, естественно, этим проблему не решил. Обращаюсь к вам за помощью о корректном лечении системы.
Логи прикреплены.
Спасибо.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WebClientSpooler');
DeleteService('SwPrv Service');
DeleteService('SMTPSVCTapiSrv');
DeleteService('SCardSvrIDriverT');
DeleteService('RDSessMgrSwPrv');
DeleteService('PolicyAgentmnmsrvc');
DeleteService('MSDTCWebClientSpooler');
DeleteService('iPodWmdmPmSN');
DeleteService('dmadminSENS');
DeleteService('DhcpFastUserSwitchingCompatibility');
DelBHO('{43773C59-1E06-46ce-97B5-B14A4B76DB50}');
QuarantineFile('C:\WINDOWS\system32\virport.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy70.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintx81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintx36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqt47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqt03.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winor14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjn81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhk25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingj58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbe68.sys','');
QuarantineFile('colibri.dll','');
QuarantineFile('srv.exe','');
DeleteFile('C:\WINDOWS\system32\virport.dll');
DeleteFile('colibri.dll');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbe68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingj58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhk25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjn81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winor14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqt03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqt47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintx36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintx81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuy70.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winbe68');
BC_DeleteSvc('Wingj58');
BC_DeleteSvc('Winhk25');
BC_DeleteSvc('Winjn81');
BC_DeleteSvc('Winor14');
BC_DeleteSvc('Winqt03');
BC_DeleteSvc('Winqt47');
BC_DeleteSvc('Wintx36');
BC_DeleteSvc('Wintx81');
BC_DeleteSvc('Winuy70');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=27918
3. Пофиксите в HijackThis:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O2 - BHO: Editor plugin - {43773C59-1E06-46ce-97B5-B14A4B76DB50} - colibri.dll (file missing)
4. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
58
Логи после выполнения AVZ-скрипта
Уважаемая Александра
Карантин выслал. Логи в прикреплённых файлах.
Спасибо!
PS
Строка
"O2 - BHO: Editor plugin - {43773C59-1E06-46ce-97B5-B14A4B76DB50} - colibri.dll (file missing) "
в HijackThis исчезла. Потому пофиксил только строку "F2 - ..."
Вложения
Последний раз редактировалось godsdog; 12.08.2008 в 14:19 .
Причина: добавление
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msinet.exe','');
DeleteService('msupdate');
DeleteFile('C:\WINDOWS\system32\msinet.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=27918
3. Повторите логи.
Junior Member
Вес репутации
58
Уважаемые Rene-Gad
Скрипт выполнил,
Карантин прислал,
Новые логи прикрепил.
Спасибо
Вложения
Не нужно обращаться по имени - у нас тут коллектив
В логах чисто. Если проблем не наблюдаете, нужно установить Сервис Пак 3. Ссылка на скачивание в моей подписи. Если у Вас не русская система - нужно на странице скачивания изменить язык на нужный Вам.
Junior Member
Вес репутации
58
кОллектив, Спасибо!
первым делом установить SP3... установить SP3... установить SP3...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 57 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\msinet.exe - Trojan.Win32.Agent.xmm (DrWEB: Trojan.Spambot.3542)