ntos.exe

Printable View

20.10.2008, 12:25
CandyMAN

ntos.exe

Еще одна проблема.
Человек пожаловался на то, что машина долго выключается и выдает ошибку при выключении. Решил провести проверку на вирусы. Dr.Web-CureIt при полной проверке системы обнаружил вирус (файл ntos.exe) и удалил его (по крайней мере так отрапортовал). Но хотелось бы убедиться в завершенности лечения.
Логи прикладываю.
20.10.2008, 13:01
wise-wistful

Восстановление системы отключите.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\SKOMOR~1\LOCALS~1\Temp\nNkjQQwz.sys','');
QuarantineFile('c:\winnt\temp\pt595f.exe','');
TerminateProcessByName('c:\winnt\temp\pt595f.exe');
DeleteFile('c:\winnt\temp\pt595f.exe');
DeleteFile('C:\DOCUME~1\SKOMOR~1\LOCALS~1\Temp\nNkjQQwz.sys');
DeleteFile('C:\WINNT\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=32367[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) [/CODE]
Повторите логи.
20.10.2008, 16:45
CandyMAN

Файл сохранён как 081020_074142_virus_48fc7c866a600.zip
Размер файла 381963
MD5 244a66c1b1b3c918ea6f4bfc19c5afd6

Что касается файлов типа xx1234.exe, то это файлики антивируса. Его вроде выгружаешь из памяти, а они все торчат в процессах, да и папочке Temp.
Новые логи приложены
20.10.2008, 16:56
Гриша

В логах чисто, жалобы есть?
21.10.2008, 14:45
CandyMAN

Спасибо.
Пока все хорошо. Буду надеяться, что надолго :)
22.02.2009, 08:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.nm[/B] (DrWEB: Trojan.Proxy.2684)[/LIST][/LIST]