Printable View
Добрый день.
Возникла проблема.
После загрузки комп ругнулся на неизвестный мне файл, я пробежался по автозапуску и обнаружил несколько подозрительных файлов. В том числе ntos.exe. Больше сделать ничего не успел, т.к. комп ушел в перезагрузку.
В безопасном режиме попытался избавится от чего смог, но попытка загрузиться в обычном режиме по-прежнему приводит к перезагрузке.
Перезагрузка происходит в момент, когда система уже полностью загрузилась.
Помогите, пожалуйста!
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Nat.OKA\Local Settings\Temporary Internet Files\Content.IE5\2TSF25I5\access[1].htm','');
QuarantineFile('C:\WINDOWS\system32\ntos','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('Ip6Fw.sys','');
QuarantineFile('C:\DOCUME~1\Nat.OKA\LOCALS~1\Temp\1.tmp','');
QuarantineFile('Uoj35.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uoj35.sys','');
DeleteFile('Uoj35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uoj35.sys');
DeleteFile('C:\WINDOWS\system32\ntos');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Documents and Settings\Nat.OKA\Local Settings\Temporary Internet Files\Content.IE5\2TSF25I5\access[1].htm');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=22165[/url] ).
Если по-прежнему не будет заходить в обычный режим, то сделайте такой лог: [url]http://virusinfo.info/showthread.php?t=10387[/url]
Теперь перезагрузка происходит уже на этапе входа в систему.
Логи приложил.
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis[/url]:
[code]F2 - REG:system.ini: Shell=[/code]
Попробуйте после этого перезагрузиться в обычный режим.
Перезагруз в том же месте.
C:\WINDOWS\system32\ntos.exe - [b]Trojan-Spy.Win32.Zbot.bdg [/b]
C:\Documents and Settings\Nat.OKA\Local Settings\Temporary Internet Files\Content.IE5\2TSF25I5\access[1].htm - [b]not-a-virus: Porn-Dialer.Win32.GBDialer.j[/b]
C:\DOCUME~1\Nat.OKA\LOCALS~1\Temp\1.tmp - детектится многими на ВирусТотал.
C:\WINDOWS\System32\Drivers\Uoj35.sys - [b]Rootkit.Win32.Agent.aih[/b]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Nat.OKA\LOCALS~1\Temp\1.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('AcrSch2Svc');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Как проблема?
Сделайте новые логи.
После выполнения скрипта проблема осталась.
Готовлю новые логи.
При попытке загрузки свежих логов сайт выдает сообщение: эти файлы уже были загружены в данной теме.
Переименование файлов (добавление цифры 2 в конец наименований) не решает проблемы.
Удалите старые логи через "Мой кабинет"=>"Управление вложениями"
Готово.
Отключите восстановление системы, как написано в правилах!
Гадость восстановилась.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Ip6Fw.sys','');
DeleteFile('C:\Documents and Settings\Nat.OKA\Local Settings\Temporary Internet Files\Content.IE5\2TSF25I5\access[1].htm');
DeleteFile('C:\DOCUME~1\Nat.OKA\LOCALS~1\Temp\1.tmp');
DeleteFile('Uoj35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uoj35.sys');
DeleteFile('C:\WINDOWS\system32\ntos');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('Ip6Fw');
BC_DeleteSvc('AcrSch2Svc');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин.
Сделайте новые логи.
Проблема осталась?
Отключить не могу.
Система говорит, что "...это сделать невозможно. Попробуйте перезагрузиться и повторить попытку". Естественно после перезагрузки та же фигня.
Для верности еще такой скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Uoj35');
SetServiceStart('Uoj35', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
DeleteFile('C:\DOCUME~1\Nat.OKA\LOCALS~1\Temp\1.tmp');
DeleteFile('C:\WINDOWS\system32\ntos');
DeleteFile('C:\Documents and Settings\Nat.OKA\Local Settings\Temporary Internet Files\Content.IE5\2TSF25I5\access[1].htm');
DeleteFile('C:\WINDOWS\system32\Drivers\Uoj35.sys');
BC_ImportALL;
BC_DeleteSvc('AcrSch2Svc');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('Uoj35');
ExecuteSysClean;
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-', 'userinit');
BC_Activate;
RebootWindows(true);
end.[/code]
А потом уже пришлите карантин и сделайте новые логи.
СПАСИБО!
Выполнил оба скрипта.
Система загрузилась нормально.
Восстановление отключено (в нормальном режиме - не safe mode).
Для верности еще сделаю и выложу логи.
А карантин новый не отправили?
Выкладываю свежие логи.
Карантин отправил.
в логах ничего зловредного ...
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Какие-то проблемы остались ?
Видимых проблем не осталось.
Осталась кучка файлов, которые были прописаны в автозапуск.
AVZ их не считает гадостью, а NAV ругается.
Если нужно могу запаковать и выслать.
Присылайте в архиве с паролем вирус сюда: [url]http://virusinfo.info/upload_virus.php?tid=22165[/url]
Ушло.
Файл virus, пароль такой же.
Вся кучка - зловреды (за исключением 4.dllb), так что удаляйте.
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]36[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\nat.oka\\local settings\\temporary internet files\\content.ie5\\2tsf25i5\\access[1].htm - [B]not-a-virus:Porn-Dialer.Win32.GBDialer.j[/B] (DrWEB: Dialer.Maxd)[*] c:\\docume~1\\nat.oka\\locals~1\\temp\\1.tmp - [B]Trojan.Win32.KillAV.rz[/B] (DrWEB: Trojan.Packed.147)[*] c:\\windows\\system32\\drivers\\asc3550p.sys - [B]Trojan.Win32.Pakes.crz[/B][*] c:\\windows\\system32\\drivers\\uoj35.sys - [B]Rootkit.Win32.Agent.aih[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.bdg[/B] (DrWEB: Trojan.Proxy.2003)[*] \\vx1dt1.game - [B]Email-Worm.Win32.Zhelatin.yb[/B] (DrWEB: Trojan.DownLoader.19256)[*] \\vx1dt3.game - [B]Email-Worm.Win32.Zhelatin.yc[/B] (DrWEB: Trojan.Packed.142)[*] \\vx3dt2.game - [B]Email-Worm.Win32.Zhelatin.yb[/B] (DrWEB: Trojan.DownLoader.40554)[*] \\v3xd1.g22me - [B]Trojan-Downloader.Win32.Small.cxx[/B] (DrWEB: Trojan.DownLoader.15909)[*] \\v4xd3.ga2me - [B]Trojan-Downloader.Win32.Small.uuw[/B] (DrWEB: Trojan.DownLoader.59510)[*] \\v4xd6.gam5e - [B]Email-Worm.Win32.Zhelatin.yb[/B] (DrWEB: Trojan.DownLoader.29490)[*] \\v5xd2.g3ame - [B]Email-Worm.Win32.Zhelatin.ye[/B] (DrWEB: Trojan.Click.18674)[*] \\v5xd4.ga2me - [B]Email-Worm.Win32.Zhelatin.yb[/B] (DrWEB: Trojan.DownLoader.38034)[*] \\v6xdt4.game - [B]Trojan-Downloader.Win32.Tibs.ym[/B] (DrWEB: Trojan.Spambot.2566)[*] \\2.dllb - [B]Trojan-Downloader.Win32.Tibs.yz[/B] (DrWEB: Trojan.DownLoader.19990)[*] \\3.tmp - [B]Trojan-Downloader.Win32.Mutant.nl[/B] (DrWEB: Trojan.DownLoader.59056)[*] \\5.dllb - [B]Trojan-Downloader.Win32.Tibs.yz[/B] (DrWEB: Trojan.DownLoader.19990)[*] \\6.dllb - [B]Trojan-Downloader.Win32.Tibs.yz[/B] (DrWEB: Trojan.DownLoader.19256)[*] \\7.dllb - [B]Trojan-Downloader.Win32.Tibs.yz[/B] (DrWEB: Trojan.DownLoader.19256)[/LIST][/LIST]