Вирус(ы)

Помогите пожайлуста на компе вирус, ах этот ntos.exe ....

А что это с вторым логом авз приключилось?

Отключить инет и антивирус.

Пофиксите в HijackThis:
[code]
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/code]
Сразу же после фикса выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oub17.sys','');
QuarantineFile('C:\WINDOWS\system32\netdde.exe','');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Vls40.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Elr06.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\btserial.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','');
DeleteFile('C:\WINDOWS\system32\wsnpoem\audio.dll');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Vls40.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=22141[/url]

Сделать новые логи .

P.s. Вроде уже давно на форуме, а всё под админом зверей ловите :) Не надоело?

выслал карантин и сделал логи :(

скачайте [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url] ,распаковать
,
Отключить инет и антивирус.

запустить
меню File - найдите
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
C:\WINDOWS\system32\Drivers\Elr06.sys

правой кнопкой мыши - force delete ...
затем выполните скрипт avz :
1.[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]

2.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oub17.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('Vls40.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Vls40.sys');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('Vls40');
BC_DeleteSvc('Vls40');
BC_DeleteSvc('Elr06');
BC_DeleteSvc('Oub17');
BC_Activate;
RebootWindows(true);
end.[/code]

готово. вот логи

c карантином вы промахнулись, в другой подпапке загляните, там должно много файлов быть

Выслал карантин

Вы скрипт номер 2 из поста номер 4 выполнили? После него нужны новые логи, начиная с пункта 10 правил.

скрипт номер 2 из поста номер 4 выдаёт [SIZE=2]
Ошибка скрипта: 'BEGIN' expected, позиция [1:1]
[/SIZE]

добавте BEGIN в начало скрипта ...

После перезагрузки компьютера пришлите карантин и сделайте новые логи, начиная с пункта 10 правил.

готово , карантин тоже выслал

C:\WINDOWS\system32\mnmsrvc.exe
C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp
C:\WINDOWS\system32\netdde.exe
поищите через авз - сервис - поиск файлов на диске ... и пришлите по правилам ..

мусор убрать в hijackthis
[code]O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
O23 - Service: MSIServer - Unknown owner - C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp (file missing)[/code]

C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp вот этого файла нет. а остальное выслал,
мусор убрал в hijackthis.

выполните скрипт ...
[code]
begin
ClearQuarantine;
end.
[/code]
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\system32\netdde.exe
добавте через поиск авз и пришлите ...

АВЗ файлы находит но в карантин добавить не могу.Жму Копировать отмеченные файлы в карантин ...захожу в карантин а там пусто.:(

Значит файлы проходят по базе безопасных потому и не копируются

Так что делать дальше ?

больше в логах ничего подозрительного ...
остались какие-то проблемы ?