Показано с 1 по 18 из 18.

Неудается вылечить до конца ntos (заявка № 44780)

  1. #1
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    9
    Вес репутации
    55

    Неудается вылечить до конца ntos

    Добрый день.
    Вчера поймал вирус. Пытался найти через McAfee и Kaspersky Online scan - оба антивируса сказали что система чистая.
    Вручную убить файл ntos (из реестра) не получилось. Использовал утилиту klwk -она нашла следы в реестре но ничего не сделала, Воспользовался утилитой ZBotKiller. Она вирус обнаружила и убила все его файлы и записи в реестре.
    НО! Не смотря на удаленный ntos невозможно выйти на некоторые сайты (например mcafee.com) невозможно запустить ряд файлов под своим именем:
    cmd, regedit, wincmd32. При попытке запустить их происходит перезапуск Эксплорера (шела). Так же невозможно в свойствах папок включить возможность показывать скрытые файлы.
    Во вложении лог программы Kaspersky Virus Removal Tool 7.0.0.260
    Там что-то нашлось, но я не многое из этого смог извлечь. HiJack ничего интересного не показал.
    Машина заражена была одна.
    Помогите окончательно ликвидировать эту заразу ntos. Или возможно это некий новый вирус, которого антивирусы не знают.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Очистите темп-папки, кэш проводников и корзину.
    Ничего подозрительного я не нашел.

  4. #3
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    9
    Вес репутации
    55

    Мда ((

    Как сказали - все почистил. Эффекта ровно ноль...((
    Самое неприятное - это невозможность windows commander запустить.
    Сейчас запускаю все эти программы через PrKiller (там есть своя командная строка). Смотрел открытые порты - тоже вроде ничего нет. Никто наружу не лезет.
    Может всетаки есть способ это лечить? Явно же перехват каких-то функций идет.
    От отчаяния попробую завтра откатить SP3 от XP, но есть опасение что вообще система ляжет.
    Это ноутбук Sony - его переустанавливать очень непростая задача ((
    Прошу о помощи. Мне уже и самому интересно - что так мешаться может.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    скачайте этот avz http://rapidshare.com/files/199106177/toto.pif и сделайте им логи по правилам: http://virusinfo.info/showthread.php?t=1235

    Добавлено через 2 минуты

    Цитата Сообщение от northstar2000 Посмотреть сообщение
    От отчаяния попробую завтра откатить SP3 от XP
    не надо, в случае острой необходимости попробуйте его снова накатать
    Цитата Сообщение от northstar2000 Посмотреть сообщение
    Прошу о помощи.
    Если логи покажут, кого убивать - поможем. А нет - не обессудьте.
    Еще сделайте проверку на файловые вирусы (см. ссылку в подписи).
    Последний раз редактировалось Rene-gad; 29.04.2009 в 15:24. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    9
    Вес репутации
    55
    Вот логи

    Я в этих данных ничего интересного не нашел. Но что-то же должно переключать галочку Показывать скрытые файлы и папки. Такое же ключем реестра не сделать!?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 30.04.2009 в 22:31.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('msansspc.dll','');
     QuarantineFile('C:\WINDOWS\system32\he03O0sS.exe','');
     QuarantineFile('C:\WINDOWS\system32\6DSnX7j1.exe','');
     QuarantineFile('C:\Documents and Settings\Vasily\Шаблоны\A.kotnorB.com','');
     DeleteFile('msansspc.dll');
     DeleteFile('C:\Documents and Settings\Vasily\Шаблоны\A.kotnorB.com');
     DeleteFile('C:\WINDOWS\system32\6DSnX7j1.exe');
     DeleteFile('C:\WINDOWS\system32\he03O0sS.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению 3 правил, если будет не пуст
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=44780).

    Удалите все задания в Планировщике (Панель управления -> Назначенные задания).

    Сделайте новые логи (п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    9
    Вес репутации
    55

    Закачал

    090430_175513_virus_49f9adc111990.zip
    Вот! все сделал по инструкции.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от northstar2000 Посмотреть сообщение
    Вот! все сделал по инструкции.
    А логи где?

  10. #9
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    9
    Вес репутации
    55
    Логи вложены ее во вчерашнем сообщении или я что-то не понимаю?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от northstar2000 Посмотреть сообщение
    Логи вложены ее во вчерашнем сообщении или я что-то не понимаю?
    Логи ПОСЛЕ СКРИПТА. Прочитайте последнюю строчку тут: http://virusinfo.info/showpost.php?p=394939&postcount=7

  12. #11
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    9
    Вес репутации
    55

    сорри

    все понялю. новые логи прилагаю.
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Что с проблемами?

  14. #13
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    9
    Вес репутации
    55

    ((

    Все проблеммы на своем месте.
    Я все обыскал - нигде никаких лишних процессов или потоков не нашел.
    По какой-то причине продолжает вылетать Explorer при запуске программ cmd regedit32 и wincmd32 из Шела. Из Wincmd все те же программы стартуют нормально.
    Из проводника вылетает с ошибкой 0x00fd1ea8 модуль duser.dll

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    executerepair(1);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RebootWindows(true);
    end.
    После перезагрузки проинформируйте о состоянии ПК.

  16. #15
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    9
    Вес репутации
    55

    ((

    Ничего не изменилось.
    Еще после первого скрипта появилось неопознанное устройство ROOT\LEGACY_UZEYOTG2\0000
    в остальном все как и раньше

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Неопознанное устройство просто удалите в Диспетчере устройств.
    Файлы cmd.exe и regedit.exe восстановите из дистрибутива или скопируйте из здоровой системы.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    9
    Вес репутации
    55

    ((

    1 устройство каждый раз снова находится при запуске системы
    2 файлы заменил - разницы никакой нет. Как между файлами по содержанию так и невозможности их запустить из шела. Так же пробовал cmd брать из 2003 сервера - тот же результат.
    SP3 повторно накатить не удалось - система зависла в конце установке.

    Похоже format c: - вот мой выбор..(( Похоже просто ZBotKiller или сам вирус с SP3 не очень совместимы и что-то теперь заглючило.

    Добавлено через 7 часов 17 минут

    Самое не понятное - почему переименованные файлы запускаются нормально ((
    Как можно проверять имя файла во время запуска?
    Прогнал еще запуск программ через regmon и filemon - тоже ничего нет ((
    Последний раз редактировалось northstar2000; 02.05.2009 в 01:56. Причина: Добавлено

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) northstar2000, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не могу до конца вылечить комп
      От Stopfire в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 27.11.2010, 17:52
    2. Не до конца вылечился
      От Alex T в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.07.2009, 01:41
    3. Помогите вылечить до конца
      От Anatoliy2008 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.03.2009, 17:09
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 05:52
    5. Не смог вылечить до конца
      От monia в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.11.2007, 15:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01066 seconds with 20 queries