Проверьте логи

Доброго всем времени суток! Принесли машинку на лечение. Обнаружил ntos.exe и еще парочку "звериков"... вроде вычистил все, но машина тормозит ужастно... Посмотрите, может забыл чего ;)

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Jnr82');
StopService('hbvnmefgg');
StopService('DMSKSSRh');
QuarantineFile('msvcrt57.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\tdwrgpwu.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jnr82.sys','');
QuarantineFile('C:\DOCUME~1\Baby\LOCALS~1\Temp\DMSKSSRh.sys','');
DeleteFile('msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\drivers\tdwrgpwu.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jnr82.sys');
DeleteFile('C:\DOCUME~1\Baby\LOCALS~1\Temp\DMSKSSRh.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Jnr82');
BC_DeleteSvc('hbvnmefgg');
BC_DeleteSvc('DMSKSSRh');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.

Странно, но 'msvcrt57.dll' я уже удалял.....
Вобщем все как просили:

[SIZE=2]Файл сохранён как [I][B]081009_105123_virusinfo_cure_48ee287b2a88b.zip[/B][/I][/SIZE]
Размер файла [B][I]26[/I][/B]
MD5 [B][I]2305a08385ffdf8bce4e49a35789a31c[/I][/B]
Но мне кажется, что ничего в карантин не попало.... :(

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('NTPXURRM');
QuarantineFile('NTPXURRM.sys','');
DeleteFile('NTPXURRM.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Скрипт не отработался, пришлось делать вручную :( и в защищенном режиме

Файл сохранён как: [B][I]081010_011540_virus_48eef30c3ac67.zip[/I][/B]
Размер файла: [B][I]109845[/I][/B]
MD5: [B][I]b57975a55972a53163a5df55b3b828f5[/I][/B]
[B][/B]
Логи пришлю через 10 минут

Нет, файлик так и не удалился...

[QUOTE=Vialendil;295233]Нет, файлик так и не удалился...[/QUOTE]Я в логах ничего плохого не вижу.

[QUOTE=Vialendil;295252]Понятно.... но файлик физически есть в папке.....[/QUOTE]
В какой папке?

Понятно.... но файлик физически есть в папке..... При попытке удаления и помещения в карантин, пишет "Ошибка, попытка прямого чтения" Через "отложенное удаление" после перезагрузки появляется опять.... Ладно.... бог с ним отдам клиенту так....

[QUOTE=Vialendil;295417]
Ну чтобы тем не плодить, кину еще одни логи уже с другой машины[/QUOTE]Сколько у Вас их есть - давайте все их смешаем и зловредов поровну на всех поделим
[QUOTE]Обратите внимание:

1) Если у Вас несколько инфицированных операционных систем или компьютеров, то Вам следует оформлять каждую систему отдельным запросом.
[/QUOTE]

.

[quote=Rene-gad;295441]Сколько у Вас их есть - давайте все их смешаем и зловредов поровну на всех поделим
[/quote]
Идея интересная, логов действительно много. :D Сорри, если задел или еще чего.... буду создовать новые темы...

[QUOTE=Vialendil;295488]Сорри, если задел или еще чего.... [/QUOTE]Нет, просто правила, которые я процитировал, нарушили ;)

Еще раз сорри и спасибо 8)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ntpxurrm.sys - [B]Trojan.Win32.Pakes.kmn[/B] (DrWEB: Trojan.Sentinel.based)[/LIST][/LIST]