Присутствовали ntos, wincomm32 и еще ряд неприятный гостей.
Что мог - порубил, но какая-то гадость еще осталась - AVZ находит перехватчика.
Помогите найти и уничтожить, пожалуйста.
Printable View
Присутствовали ntos, wincomm32 и еще ряд неприятный гостей.
Что мог - порубил, но какая-то гадость еще осталась - AVZ находит перехватчика.
Помогите найти и уничтожить, пожалуйста.
Все нормально, осталось только пофиксить в HijackThis:
[code]
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
[/code]
Для контроля перезагрузитесь и повторите лог HijackThis.
Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Продолжает висеть.
Попытка удалить ntos через отложенное удаление AVZ тоже не удается. При выборе ntos появляется окно "Файл уже используется другим приложением".
Даже в безопасном режиме и при диагностическом запуске (msconfig).
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=21209[/url]).
Сделайте новые логи, начиная с п.10 правил.
БОЛЬШОЕ СПАСИБО!
Все чисто (насколько я могу судить).
Карантин выслал.
ntos.exe - [b]Trojan-PSW.Win32.Broker.a[/b]
Он действительно у вас был, хотя по логам я вначале подумал, что это только следы. Для контроля нужны новые логи, начиная с п.10 правил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-PSW.Win32.Broker.a[/B] (DrWEB: Trojan.Packed.511)[/LIST][/LIST]