Zbot (который ntos.exe)

**Nek1t** · 05.10.2008, 01:28

Вообщем, гуляя в инете, подцепил эту дрянь.

Сначала NOD32 крикнул, что в C:\WINDOWS\system32\ появился nso12k.sys, который является Win32/Agent.NLI
Далее в C:\WINDOWS\system32\ подгрузился cssrss.exe. Вроде как NOD32 оба файла отправил в карантин. Через секунд 10 NOD32 вообще перестал работать, далее перестали запускаться все остальные программы. Загрузился в безопасном режиме, просмотрел все файлы созданные за последний час на диске С, стер ~3 трояна из папки Temp и Documents and Settings. Далее наткнулся на ntos.exe, audio.dll и video.dll. Никак не смог удалить эти файлы - доступ к ним запрещен.

Посмотрел в инете про этот вирь, в реестре сделал так:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] поменял
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"

Загрузился с LiveCD, удалил ntos.exe, audio.dll, video.dll + еще что-то вроде v87bs38d.sys

Загрузился в обычном режиме, программы вновь работают, антивирь тоже.
Но меня мучает параноя, может я чего не стер и мои пароли по-тихоньку уплывают в инет?

п.с. первый лог virusinfo_syscure.zip не прицепил, т.к. не доверяю я что-то автоматическому лечению AVZ =\

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 05.10.2008, 07:12

Без третьего лога нам будет трудно вынести вердикт.

Все что удаляет АВЗ можно запросто восстановить из карантина, и после этого м.б. убить еще раз

**Nek1t** · 05.10.2008, 11:42

Третий лог прикрепил.
Вы просто посмотрите логи на наличие подзрительных файлов? Все таки хотелось бы получить рекомендации по борьбе конкретно с этим вирусом.
п.с. то, что в логе будет dns_sd.exe, который Trojan-PSW.Win32.VB.se - это сервис от фотошопа и угрозы он не несет.

**V_Bond** · 05.10.2008, 12:03

отключите восстановление системы
выполните скрипт

Код:

begin
 QuarantineFile('C:\DOCUME~1\НЕКИТ\LOCALS~1\Temp\ALSysIO.sys','');
end.

пришлите карантин согласно приложения 3 правил

**Nek1t** · 05.10.2008, 12:12

Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\НЕКИТ\LOCALS~1\Temp\ALSysIO.sys)
Карантин с использованием прямого чтения - ошибка

Ошибка...

**V_Bond** · 05.10.2008, 12:28

выполните скрипт

Код:

begin
 DeleteFile('C:\DOCUME~1\&#205;&#197;&#202;&#200;&#210;\LOCALS~1\Temp\ALSysIO.sys');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

virusinfo_syscheck.zip повторите

**Nek1t** · 05.10.2008, 12:48

Сейчас сделаю.
Вчера успел сохранить несколько образцов вирей/троянов/руткитов перед удалением. Нужно их куда-то залить?

**V_Bond** · 05.10.2008, 12:49

можно , согласно приложения 2 правил

**Nek1t** · 05.10.2008, 13:00

Загрузил основной файл.
Судя по анализу http://anubis.iseclab.org/result.php...aed9&refresh=1 видно, что это главный файл, который из себя извелкает сам руткит (ntos.exe) и плюс ddos.exe...

Скрипт выполнил.

Пока вроде никаких проявлений малвары не видно, но все же... Жду ответа

**Nek1t** · 07.10.2008, 21:52

Вы меня игнорируете?

**V_Bond** · 07.10.2008, 21:58

в логе ничего плохого

**Nek1t** · 08.10.2008, 18:52

Т.е. все нормально, малвары нет?

**Гриша** · 08.10.2008, 23:49

То есть нет

**CyberHelper** · 22.02.2009, 08:26

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. \\test[1].exe - Trojan-Dropper.Win32.Agent.xov (DrWEB: Trojan.PWS.Panda.24)

Zbot (который ntos.exe) (заявка № 31467)

Опции темы

Zbot (который ntos.exe)

Итог лечения

Похожие темы

Win32/Spy.Zbot.ZR.

Win32/Spy.Zbot.ZR

spy.Zbot.ZR

Zbot

Spy.Zbot.UN

Ваши права в разделе