Проблема с nso12k.sys

[ysterk]

Касперский при загрузке системы находит файл nso12k.sys, который заражен троянской программой Trojan.Win32.Agent.amr. Пытался в реестре удалить , но ничего не получается. Хотелось получить помощь.

[Bratez]

Для начала соберем анализы
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows.1\system32\odbcjet.exe','');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS.1\Документы\Settings\bn.dll','');
 QuarantineFile('c:\WINDOWS.1\system32\vsjitdebugger.exe','');
 QuarantineFile('C:\WINDOWS.1\system32\nso12k.sys','');
 QuarantineFile('C:\WINDOWS.1\system32\cssrss.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Добавлено через 2 минуты

Вот это можно сразу пофиксить:

Код:

O20 - Winlogon Notify: bnreg - C:\Documents and Settings\All Users.WINDOWS.1\Документы\Settings\bn.dll (file missing)

Remote Administrator установлен с вашего ведома?

[ysterk]

Remote Administrator установлен мной и я с ним работаю.

[Bratez]

Карантин нельзя прикреплять к сообщению, для этого есть ссылка вверху темы! Уберите и отправьте тут: http://virusinfo.info/upload_virus.php?tid=12415

Добавлено через 8 минут

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=c:\windows.1\system32\userinit.exe,c:\windows.1\system32\odbcjet.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS.1\system32\cssrss.exe');
 BC_DeleteSvc('nso12k');
 BC_DeleteFile('C:\WINDOWS.1\system32\nso12k.sys');
 BC_DeleteFile('C:\WINDOWS.1\system32\cssrss.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделайте новые логи.

[ysterk]

Я загрузил. Только как мне теперь я его не вижу
Файл сохранён как 070913_073808_virus_46e92f308e49c.zip
Размер файла 119765
MD5 c51464040764884bb1fa792be9f5b791

Добавлено через 2 минуты

Хорошо. Сейчас все переделаем

Добавлено через 16 минут

Все загружено.

[Bratez]

А логи новые где?

[ysterk]

Я их загружаю , а как тогда их отправить

Добавлено через 9 минут

Все сейчас будут

[PavelA]

Сюда логи, туда вирусы - Правило этого форума.

[Bratez]

а как тогда их отправить

Вот их, в отличие от карантина, прикрепить сюда,
так же, как в первом сообщении.

[ysterk]

Вот логи

[Bratez]

Зверя больше нет. Есть два замечания.

1. В системе болтается драйвер от Symantec, его желательно удалить.
Это можно сделать таким скриптом:

Код:

begin
BC_DeleteSvc('SymEvent');
BC_Activate;
RebootWindows(true);
end.

2. Скажите, используете ли что-то из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Что не нужно - пофиксим.

[ysterk]

Спасибо, все исправил.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 76
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows.1\\system32\\cssrss.exe - Trojan-Downloader.Win32.Agent.djo (DrWEB: Trojan.NtRootKit.323)