Хэлп ми. трояны и C:\WIN..\system32\ntos.exe , C:\WIN..\system32\wsnpoem\
Здравствуйте Уважаемые ! Помогите разобратся с такой проблемкой , пользую NAV из пакета NSW 2005 , он обычно ничего страшного не находил, но комп заметно притормаживал и я почитав журналов запустил RootkitRevealer он много что находит но при попытке сохранить лог винда пишет что приложение нарушено и закрывает - лог соответственно пустой - но после него утилитка от лава софт Ad-Aware нашла несколько десятков троянов и 4 бэкдора большинство она удаляет но вот следующие файлы удалить не может , вручную тоже , загрузил систему с CD и удалил но при перезагрузке опять появились.
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem\audio.dl
c:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\wsnpoem\00011FA8.uf
вместе с ниме и еще какието трояны похоже востанавливаются потому как Ad-Aware всегда много находит последний раз 64 трояна и 4 бэкдора , если надо есть её лог.
почитал правила и следуя им всё сделал (пока проблемка осталась).
вот лои AVZ , HiJackThis
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Карантин выслал . И еще показалось подозрительным: после выполнения скрипта AVZ написала что он выполнен без ошибок , а комп вместо того чтоб перезагрузится (я так понимаю это должно было произойти ) повис и пришлось обрубать питание чтоб перезагрузить.
Надо чтото еще делать ?
Добавлено через 23 минуты
Щас ещё разок прогнал утилиткауот лава софт Ad-Aware, нашла ещё 3 трояна и 4 бэкдора.
И ещё один момент , только заметил , когда я ставил винду года полтора назад (офиц. лиценз. xp home , sp2, сборка 2600) , я никаких других пользователей кроме себя любимого (Игорь) не создовал, а сейчас смотрю в документах есть еще два администратора , олл юзер и дефаулт юзер. может еще и здесь трабл ?
Добавлено через 4 часа 11 минут
Ау.. примного Уважаемые хэлперы, модераторы и админы , ничег новенького не скажите ? ну хотябы получили или нет карантин ?
Я тут пока еще пару раз Ad-Aware прогнал вроде убил еще пару другую тоянов , затем в safe mode выполнил стандартные скрипты (которые по правилам для сбора логов) в AVZ (чтото нашла 1шт), потом еще пару раз Ad-Aware и в safe mode и в обычном чисто . это что выличилось ? или притаилось ? последние логи AVZ надо? или нет.
Последний раз редактировалось prepodobniy; 01.02.2008 в 17:15.
Причина: Добавлено
Удалил из папки "Documents and Settings" папки других администраторов (которых я не создовал) незнаю поможет или без разници ?
И еще после начала лечения в "Мой компьютер" появилось устройство "Web Folders" если по ней кликнуть то открывается "My Web Sites on MSN" - Что с этим делать ?
Раскажите чайнику плз.
"Web Folders" - отрубил.
Еще ради интереса заглянул в папку C:\WINDOWS\system32 чтобы убедится в отсутствии ntos.exe - его нет , но есть похожий " ntoskrnl.exe " это не он замаскировался , или этот файл должен быть ?
В логах чисто. Если жалоб больше нет, то лечение окончено.
Очистите карантин ДрВеба:
C:\Documents and Settings\Игорь\DoctorWeb\Quarantine
Посмотрите, нужно ли вам что-либо из этого:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
Я незнаю что это такое - "Служба обнаружения SSDP"
Остальное вроде не нужно.
Добавлено через 2 минуты
Сообщение от Bratez
ntoskrnl.exe не трогайте, это ядро системы!
О.К. понял трогать не буду.
Добавлено через 2 минуты
И я так понял после лечения надо поставить новый анти вирус вместо нортона , какой посоветуете Dr.Web , NOD32 или другой ?
Добавлено через 22 минуты
Вроде разобрался что такое - "Служба обнаружения SSDP" , Но возник такой вопрос - роутер , маршрутизатор или интернет центр относятся к сетевым Плуг & Плэй устройствам ? если нет - то ничего из выше перечисленого не нужно , довайте отключим
Последний раз редактировалось prepodobniy; 01.02.2008 в 19:36.
Причина: Добавлено
Вроде разобрался что такое - "Служба обнаружения SSDP" , Но возник такой вопрос - роутер , маршрутизатор или интернет центр относятся к сетевым Плуг & Плэй устройствам ? если нет - то ничего из выше перечисленого не нужно , довайте отключим
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: