Zbot (который ntos.exe)

Вообщем, гуляя в инете, подцепил эту дрянь.

Сначала NOD32 крикнул, что в C:\WINDOWS\system32\ появился nso12k.sys, который является Win32/Agent.NLI
Далее в C:\WINDOWS\system32\ подгрузился cssrss.exe. Вроде как NOD32 оба файла отправил в карантин. Через секунд 10 NOD32 вообще перестал работать, далее перестали запускаться все остальные программы. Загрузился в безопасном режиме, просмотрел все файлы созданные за последний час на диске С, стер ~3 трояна из папки Temp и Documents and Settings. Далее наткнулся на ntos.exe, audio.dll и video.dll. Никак не смог удалить эти файлы - доступ к ним запрещен.

Посмотрел в инете про этот вирь, в реестре сделал так:[QUOTE][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] поменял
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"[/QUOTE]

Загрузился с LiveCD, удалил ntos.exe, audio.dll, video.dll + еще что-то вроде v87bs38d.sys

Загрузился в обычном режиме, программы вновь работают, антивирь тоже.
[B]Но меня мучает параноя, может я чего не стер и мои пароли по-тихоньку уплывают в инет?[/B]

[SIZE="1"]п.с. первый лог virusinfo_syscure.zip не прицепил, т.к. не доверяю я что-то автоматическому лечению AVZ =\[/SIZE]

Без третьего лога нам будет трудно вынести вердикт.

Все что удаляет АВЗ можно запросто восстановить из карантина, и после этого м.б. убить еще раз :)

Третий лог прикрепил.
Вы просто посмотрите логи на наличие подзрительных файлов? Все таки хотелось бы получить рекомендации по борьбе конкретно с этим вирусом.
п.с. то, что в логе будет [B]dns_sd.exe[/B], который Trojan-PSW.Win32.VB.se - это сервис от фотошопа и угрозы он не несет.

отключите восстановление системы
выполните скрипт
[code]
begin
QuarantineFile('C:\DOCUME~1\НЕКИТ\LOCALS~1\Temp\ALSysIO.sys','');
end.
[/code]
пришлите карантин согласно приложения 3 правил

[QUOTE]Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\НЕКИТ\LOCALS~1\Temp\ALSysIO.sys)
Карантин с использованием прямого чтения - ошибка[/QUOTE]
Ошибка...

выполните скрипт
[code]
begin
DeleteFile('C:\DOCUME~1\ÍÅÊÈÒ\LOCALS~1\Temp\ALSysIO.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
virusinfo_syscheck.zip повторите

Сейчас сделаю.
Вчера успел сохранить несколько образцов вирей/троянов/руткитов перед удалением. Нужно их куда-то залить?

можно , согласно приложения 2 правил

Загрузил основной файл.
Судя по анализу [url]http://anubis.iseclab.org/result.php?taskid=da6b2fbb3f77bbb41da4a407c896aed9&refresh=1[/url] видно, что это главный файл, который из себя извелкает сам руткит (ntos.exe) и плюс ddos.exe...

Скрипт выполнил.

Пока вроде никаких проявлений малвары не видно, но все же... Жду ответа :)

Вы меня игнорируете?

в логе ничего плохого

Т.е. все нормально, малвары нет?

То есть нет :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\test[1].exe - [B]Trojan-Dropper.Win32.Agent.xov[/B] (DrWEB: Trojan.PWS.Panda.24)[/LIST][/LIST]