Помогите пожайлуста на компе вирус, ах этот ntos.exe ....
Printable View
Помогите пожайлуста на компе вирус, ах этот ntos.exe ....
А что это с вторым логом авз приключилось?
Отключить инет и антивирус.
Пофиксите в HijackThis:
[code]
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/code]
Сразу же после фикса выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oub17.sys','');
QuarantineFile('C:\WINDOWS\system32\netdde.exe','');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Vls40.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Elr06.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\btserial.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','');
DeleteFile('C:\WINDOWS\system32\wsnpoem\audio.dll');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Vls40.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=22141[/url]
Сделать новые логи .
P.s. Вроде уже давно на форуме, а всё под админом зверей ловите :) Не надоело?
выслал карантин и сделал логи :(
скачайте [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url] ,распаковать
,
Отключить инет и антивирус.
запустить
меню File - найдите
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
C:\WINDOWS\system32\Drivers\Elr06.sys
правой кнопкой мыши - force delete ...
затем выполните скрипт avz :
1.[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
2.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oub17.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('Vls40.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Vls40.sys');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('Vls40');
BC_DeleteSvc('Vls40');
BC_DeleteSvc('Elr06');
BC_DeleteSvc('Oub17');
BC_Activate;
RebootWindows(true);
end.[/code]
готово. вот логи
c карантином вы промахнулись, в другой подпапке загляните, там должно много файлов быть
Выслал карантин
Вы скрипт номер 2 из поста номер 4 выполнили? После него нужны новые логи, начиная с пункта 10 правил.
скрипт номер 2 из поста номер 4 выдаёт [SIZE=2]
Ошибка скрипта: 'BEGIN' expected, позиция [1:1]
[/SIZE]
добавте BEGIN в начало скрипта ...
После перезагрузки компьютера пришлите карантин и сделайте новые логи, начиная с пункта 10 правил.
готово , карантин тоже выслал
C:\WINDOWS\system32\mnmsrvc.exe
C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp
C:\WINDOWS\system32\netdde.exe
поищите через авз - сервис - поиск файлов на диске ... и пришлите по правилам ..
мусор убрать в hijackthis
[code]O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
O23 - Service: MSIServer - Unknown owner - C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp (file missing)[/code]
C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp вот этого файла нет. а остальное выслал,
мусор убрал в hijackthis.
выполните скрипт ...
[code]
begin
ClearQuarantine;
end.
[/code]
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\system32\netdde.exe
добавте через поиск авз и пришлите ...
АВЗ файлы находит но в карантин добавить не могу.Жму Копировать отмеченные файлы в карантин ...захожу в карантин а там пусто.:(
Значит файлы проходят по базе безопасных потому и не копируются
Так что делать дальше ?
больше в логах ничего подозрительного ...
остались какие-то проблемы ?
Спасибо вам большое вроде чисто:D
Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение[/URL] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу [/URL]"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]72[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\vls40.sys - [B]Rootkit.Win32.Agent.aih[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.bdg[/B] (DrWEB: Trojan.Proxy.2003)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Small.uvt[/B] (DrWEB: Trojan.DownLoader.57335)[*] c:\\windows\\winlogon.exe - [B]Trojan-Proxy.Win32.Small.ml[/B] (DrWEB: Trojan.Packed.573)[*] \\2008-04-27\\bcqr00001.dta - [B]Trojan-Spy.Win32.Zbot.bdg[/B] (DrWEB: Trojan.Proxy.2003)[*] \\2008-04-27\\bcqr00002.dta - [B]Trojan-Spy.Win32.Zbot.bdg[/B] (DrWEB: Trojan.Proxy.2003)[/LIST][/LIST]