На компе появился ntos.exe никак ничего не может его удалить :(
что можно еще сделать?
Сам ntos удалось разблокировать с winlogon.exe и скопировать если кому надо могу прислать
Printable View
На компе появился ntos.exe никак ничего не может его удалить :(
что можно еще сделать?
Сам ntos удалось разблокировать с winlogon.exe и скопировать если кому надо могу прислать
[B]SomeS[/B], уберите карантин из темы ... и внимательно ознакомтесь с правилами [url]http://virusinfo.info/showthread.php?t=1235[/url] не хватает одного лога AVZ ....
Вставлял три лога
@SomeS
пофиксите
[QUOTE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe[/QUOTE]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
после ребута повторите логи, теперь по правилам, плиз.
Модератор удалил карантин и ненужный лог.
[QUOTE='Rene-gad;127763']Модератор удалил карантин и ненужный лог.[/QUOTE]Только не лог, а прикреплённый к сообщению инфицированный файл.
Насчет логов понял простите ошибку признаю
счас выполню скрипты
[QUOTE=Shu_b;127765]Только не лог, а прикреплённый к сообщению инфицированный файл.[/QUOTE]эххм...там был карантин=инфицированный файл и virusinfo_cure.zip.. или лог не ты удалил? ;)
[quote=Rene-gad;127768]эххм...там был карантин=инфицированный файл и virusinfo_cure.zip.. или лог не ты удалил? ;)[/quote]
Могу еще разок у меня копия первых логов лежит отдельно ;)
[QUOTE=Rene-gad;127768]эххм...там был карантин=инфицированный файл и virusinfo_cure.zip.. или лог не ты удалил? ;)[/QUOTE]
карантин=virusinfo_cure.zip=инфицированный файл=C:\WINDOWS\system32\ntos.exe
[CODE]File ntos.exe received on 08.16.2007 14:36:20 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 PSW.Generic5.EXY
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.14 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 Trojan.Proxy.1731
eSafe 7.0.15.0 2007.08.10 Suspicious Trojan/Worm
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 Logger.Bancos.aam
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.15 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 probably a variant of Win32/Spy.Agent.Gen
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 Suspicious file
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 VIPRE.Suspicious
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.15 -
Webwasher-Gateway 6.0.1 2007.08.16 Trojan.Crypt.XPACK.Gen
Additional information
File size: 121344 bytes
MD5: 01c99fe31bd2469941e24025cbc8156b
SHA1: c641d85de7bd3eee8dafe81e32aa4f5fecd972cd[/CODE]
Новые логи после выполнения предложенного скрипта
выполните скрипт.....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('\Device\HarddiskVolume1\WINDOWS\system32\userinit.exe','');
QuarantineFile('\Device\HarddiskVolume1\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('\Device\HarddiskVolume1\Program Files\Winamp\winampa.exe','');
DeleteFile('\Device\HarddiskVolume1\WINDOWS\Temp\startdrv.exe');
DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно пиложения 3 правил.....
Результат загрузки
Unknown error. File not uploaded
[QUOTE=SomeS;127779]Результат загрузки
Unknown error. File not uploaded[/QUOTE]
поломалось, ждём...
попробуйте [url]http://zalil.ru/[/url] ссылочку опубликуете ....
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
НУ что каковы дальнейшие действия?
в карантин попал только один файл .....tcpip.sys он похоже чист...
выполните скрипт.....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('\Device\HarddiskVolume1\Program Files\Winamp\winampa.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
карантин если туда что-то попадет... выложите..
[url]http://slil.ru/........[/url]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\cssrss.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи....
Свежие логи
Вроде как счас все ок
Огромное спасибо всем :)
Удалили бы не нужные ответы и прибили бы наверху как прямое руководство :)