Тормозит комп-и подцепил NTOS.EXE

Printable View

01.12.2007, 23:09
alex2177

Тормозит комп-и подцепил NTOS.EXE

Тормозит комп-и подцепил NTOS.EXE
01.12.2007, 23:23
V_Bond

пофиксите....
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
[/code]
выполните скрипт....
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\LXPMONRC.DLL','');
QuarantineFile('C:\WINDOWS\system32\tphklock.dll','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
02.12.2007, 00:03
alex2177

карантин выслал

карантин выслал
02.12.2007, 00:51
V_Bond

C:\WINDOWS\system32\ntos.exe Tr/spy.zbot.cr ...
по tphklock.dll -подождем ответ вирлаба ....
03.12.2007, 11:11
alex2177

нет ли для меня новостей?

нет ли для меня новостей?
а то большой исходящий траффик
03.12.2007, 11:20
Bratez

Файл чистый. Выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\securenet.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин по правилам.
03.12.2007, 11:38
alex2177

выслал
03.12.2007, 12:11
V_Bond

Вредоносный код в файле не обнаружен ...
повторите логи ...
03.12.2007, 12:56
alex2177

сделал
03.12.2007, 13:02
V_Bond

в логах чисто ...
осталось отключить лишнееиз этого списка ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
03.12.2007, 13:52
alex2177

Домашний у меня,но к нету подключён к инету через домашнюю сеть,
подскажите please,что и как отключить
03.12.2007, 14:04
V_Bond

так .... выполните скрипт ...
[code]
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
22.02.2009, 02:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.dq[/B] (DrWEB: Trojan.Proxy.2071)[/LIST][/LIST]