ntos.exe cureit не помог

Printable View

16.06.2008, 19:57
Alex Smailov

Вложений: 3

ntos.exe cureit не помог

Здравствуйте. На ntos.exe вышел при помощи Нод32, он постоянно(но не часто, раз в 1,2,часа) убивает следующий файл: [URL]hxxxp://worldsecret.ws/cpadmins/ldr.exe[/URL] . Проверка нодом - говорит нет доступа к файлу ntos.exe. Когда запускал кьюрит (в безопасном режиме)от доктора веба, то файл был успешно удален, но потом восстановился(восстановление системы отключил) .Прощу помочь, избавиться от данной заразы.
16.06.2008, 20:06
Rene-gad

1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
[URL="http://virusinfo.info/showthread.php?t=7239"]5. Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Hook.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\Hook.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
6. Очистите темп-папки и кэш проводников.
7. Закачайте карантин [COLOR="Red"][B]красной ссылке[/B][/COLOR] вверху темы
8. Повторите логи.
16.06.2008, 20:20
Alex Smailov

п.6. Мне не ясен. Можно подробнее?
16.06.2008, 20:24
V_Bond

C:\WINDOWS\temp - временная темп-папка ...
кэш проводников в ие это делается через свойства проводника ...
в опера - инструменты - дополнительно - кэш ...
в фаефоксе - инструменты - настройки - сеть ....
16.06.2008, 20:26
Rene-gad

[QUOTE=Alex Smailov;241700]Можно подробнее?[/QUOTE]В дополнение к сообщению коллеги V_Bond имеется ссылка Очистка компьютера в моей подписи :)
16.06.2008, 20:50
Alex Smailov

Вложений: 3

Похоже, что ntos.exe ушел. Логи повторил, прицепил.

Теперь при загрузке windows мне прилетает системное сообщение о том, что hook.dll не найден. Было такое же еще давно, я через авз стер hook.dll как непомечанный процесс(или драйвер). Он кажется от ICQ. Жаль точно не помню.
16.06.2008, 21:03
V_Bond

выполните скрипт ...
[code]
begin
QuarantineFile('C:\WINDOWS\system32\XWheel.dll','');
QuarantineFile('C:\WINDOWS\system32\XIndicator.dll','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
16.06.2008, 22:22
Alex Smailov

Отправил файлы. К сожалению, пришлусь дублировать прошлый карантин с новым, так как я не смог понять какие файлы новые.

Для себя проверил эти dll в яндексе и гугле. В яндексе нет упоминаний в гугле попадались странички где упоминалось о различных spyware. Видимо вредоносные файлы. Жду вашего решения, по поводу моих дальнейших действий.
16.06.2008, 22:28
V_Bond

присланніе файлі чисты ... больше ничего подозрительного ...
22.02.2009, 05:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.bvc[/B] (DrWEB: Trojan.Proxy.3203)[/LIST][/LIST]