Показано с 1 по 19 из 19.

Хэлп ми. трояны и C:\WIN..\system32\ntos.exe , C:\WIN..\system32\wsnpoem\ (заявка № 17352)

  1. #1
    Junior Member Репутация
    Регистрация
    31.01.2008
    Адрес
    Москва
    Сообщений
    19
    Вес репутации
    60

    Thumbs up Хэлп ми. трояны и C:\WIN..\system32\ntos.exe , C:\WIN..\system32\wsnpoem\

    Здравствуйте Уважаемые ! Помогите разобратся с такой проблемкой , пользую NAV из пакета NSW 2005 , он обычно ничего страшного не находил, но комп заметно притормаживал и я почитав журналов запустил RootkitRevealer он много что находит но при попытке сохранить лог винда пишет что приложение нарушено и закрывает - лог соответственно пустой - но после него утилитка от лава софт Ad-Aware нашла несколько десятков троянов и 4 бэкдора большинство она удаляет но вот следующие файлы удалить не может , вручную тоже , загрузил систему с CD и удалил но при перезагрузке опять появились.
    C:\WINDOWS\system32\ntos.exe
    C:\WINDOWS\system32\wsnpoem\audio.dl
    c:\WINDOWS\system32\wsnpoem\video.dll
    C:\WINDOWS\system32\wsnpoem\00011FA8.uf
    вместе с ниме и еще какието трояны похоже востанавливаются потому как Ad-Aware всегда много находит последний раз 64 трояна и 4 бэкдора , если надо есть её лог.
    почитал правила и следуя им всё сделал (пока проблемка осталась).
    вот лои AVZ , HiJackThis
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Отключить антивирус, интернет...

    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
       QuarantineFile('C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll','');
     QuarantineFile('C:\Program Files\WWW File Share Pro\wfsp.chm','');
     QuarantineFile('C:\Program Files\DivX\DivX Converter\dpil100.dll','');
     QuarantineFile('C:\WINDOWS\tsnp2std.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\atwtusb.exe','');
     QuarantineFile('C:\DOCUME~1\C243~1\LOCALS~1\Temp\VJXCM.exe','');
     QuarantineFile('C:\DOCUME~1\C243~1\LOCALS~1\Temp\IPIKJ.exe','');
     QuarantineFile('C:\DOCUME~1\C243~1\LOCALS~1\Temp\HTNAWHCLY.exe','');
     QuarantineFile('C:\DOCUME~1\C243~1\LOCALS~1\Temp\GWBTIOKKUMCZRSW.exe','');
     QuarantineFile('C:\DOCUME~1\C243~1\LOCALS~1\Temp\CBDXF.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\pe719emu.SYS','');
     QuarantineFile('c:\windows\system32\atwtusb.exe','');
     QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dl','');
     QuarantineFile('c:\WINDOWS\system32\wsnpoem\video.dll','');
     QuarantineFile('C:\WINDOWS\system32\wsnpoem\00011FA8.uf','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17352

  4. #3
    Junior Member Репутация
    Регистрация
    31.01.2008
    Адрес
    Москва
    Сообщений
    19
    Вес репутации
    60
    Карантин выслал . И еще показалось подозрительным: после выполнения скрипта AVZ написала что он выполнен без ошибок , а комп вместо того чтоб перезагрузится (я так понимаю это должно было произойти ) повис и пришлось обрубать питание чтоб перезагрузить.
    Надо чтото еще делать ?

    Добавлено через 23 минуты

    Щас ещё разок прогнал утилиткауот лава софт Ad-Aware, нашла ещё 3 трояна и 4 бэкдора.
    И ещё один момент , только заметил , когда я ставил винду года полтора назад (офиц. лиценз. xp home , sp2, сборка 2600) , я никаких других пользователей кроме себя любимого (Игорь) не создовал, а сейчас смотрю в документах есть еще два администратора , олл юзер и дефаулт юзер. может еще и здесь трабл ?

    Добавлено через 4 часа 11 минут

    Ау.. примного Уважаемые хэлперы, модераторы и админы , ничег новенького не скажите ? ну хотябы получили или нет карантин ?
    Я тут пока еще пару раз Ad-Aware прогнал вроде убил еще пару другую тоянов , затем в safe mode выполнил стандартные скрипты (которые по правилам для сбора логов) в AVZ (чтото нашла 1шт), потом еще пару раз Ad-Aware и в safe mode и в обычном чисто . это что выличилось ? или притаилось ? последние логи AVZ надо? или нет.
    Последний раз редактировалось prepodobniy; 01.02.2008 в 17:15. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    31.01.2008
    Адрес
    Москва
    Сообщений
    19
    Вес репутации
    60
    Я всеже приложу свежие логи
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт:
    Код:
    begin
    BC_DeleteSvc('VJXCM');
    BC_DeleteSvc('PZEPRAMODTQTJWIV');
    BC_DeleteSvc('IPIKJ');
    BC_DeleteSvc('HTNAWHCLY');
    BC_DeleteSvc('GWBTIOKKUMCZRSW');
    BC_DeleteSvc('CBDXF');
    BC_DeleteSvc('YMSTCOA');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте логи в нормальном режиме.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    31.01.2008
    Адрес
    Москва
    Сообщений
    19
    Вес репутации
    60
    Удалил из папки "Documents and Settings" папки других администраторов (которых я не создовал) незнаю поможет или без разници ?

    И еще после начала лечения в "Мой компьютер" появилось устройство "Web Folders" если по ней кликнуть то открывается "My Web Sites on MSN" - Что с этим делать ?
    Раскажите чайнику плз.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Этот скрипт отключит Web-Folders:
    Код:
    begin
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    end.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    31.01.2008
    Адрес
    Москва
    Сообщений
    19
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    Выполните скрипт:
    Код:
    begin
    BC_DeleteSvc('VJXCM');
    BC_DeleteSvc('PZEPRAMODTQTJWIV');
    BC_DeleteSvc('IPIKJ');
    BC_DeleteSvc('HTNAWHCLY');
    BC_DeleteSvc('GWBTIOKKUMCZRSW');
    BC_DeleteSvc('CBDXF');
    BC_DeleteSvc('YMSTCOA');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте логи в нормальном режиме.
    Скрипт прогнал, новые логи в нормальном режиме сделал. щас ещё folder проганю .
    Надо ещё чтонибудь делать?
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах чисто. Если жалоб больше нет, то лечение окончено.

    Очистите карантин ДрВеба:
    C:\Documents and Settings\Игорь\DoctorWeb\Quarantine

    Посмотрите, нужно ли вам что-либо из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    31.01.2008
    Адрес
    Москва
    Сообщений
    19
    Вес репутации
    60
    "Web Folders" - отрубил.
    Еще ради интереса заглянул в папку C:\WINDOWS\system32 чтобы убедится в отсутствии ntos.exe - его нет , но есть похожий " ntoskrnl.exe " это не он замаскировался , или этот файл должен быть ?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    ntoskrnl.exe не трогайте, это ядро системы!
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    31.01.2008
    Адрес
    Москва
    Сообщений
    19
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    В логах чисто. Если жалоб больше нет, то лечение окончено.

    Очистите карантин ДрВеба:
    C:\Documents and Settings\Игорь\DoctorWeb\Quarantine

    Посмотрите, нужно ли вам что-либо из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    Я незнаю что это такое - "Служба обнаружения SSDP"
    Остальное вроде не нужно.

    Добавлено через 2 минуты

    Цитата Сообщение от Bratez Посмотреть сообщение
    ntoskrnl.exe не трогайте, это ядро системы!
    О.К. понял трогать не буду.

    Добавлено через 2 минуты

    И я так понял после лечения надо поставить новый анти вирус вместо нортона , какой посоветуете Dr.Web , NOD32 или другой ?

    Добавлено через 22 минуты

    Вроде разобрался что такое - "Служба обнаружения SSDP" , Но возник такой вопрос - роутер , маршрутизатор или интернет центр относятся к сетевым Плуг & Плэй устройствам ? если нет - то ничего из выше перечисленого не нужно , довайте отключим
    Последний раз редактировалось prepodobniy; 01.02.2008 в 19:36. Причина: Добавлено

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от prepodobniy Посмотреть сообщение
    Вроде разобрался что такое - "Служба обнаружения SSDP" , Но возник такой вопрос - роутер , маршрутизатор или интернет центр относятся к сетевым Плуг & Плэй устройствам ? если нет - то ничего из выше перечисленого не нужно , довайте отключим
    нет ...

  15. #14
    Junior Member Репутация
    Регистрация
    31.01.2008
    Адрес
    Москва
    Сообщений
    19
    Вес репутации
    60
    А тогда как бы это всё отключить ?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    у вас есть локальная сеть ?

  17. #16
    Junior Member Репутация
    Регистрация
    31.01.2008
    Адрес
    Москва
    Сообщений
    19
    Вес репутации
    60
    Да через неё и сижу в нэте.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    тогда отключим не все
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.

  19. #18
    Junior Member Репутация
    Регистрация
    31.01.2008
    Адрес
    Москва
    Сообщений
    19
    Вес репутации
    60
    Огромное Всем Спасибо ! "Респект и Уважуха"

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 43
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.adj (DrWEB: Trojan.Proxy.2071)


  • Уважаемый(ая) prepodobniy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Периодически появляются трояны в папке system32
      От DrOMCAZZONE в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 21.05.2010, 16:25
    2. В папке WINDOWS\system32\drivers появляются трояны
      От Параnoid в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.05.2009, 04:25
    3. Ответов: 6
      Последнее сообщение: 06.03.2009, 01:53
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 04:06
    5. Ответов: 6
      Последнее сообщение: 22.02.2009, 03:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01227 seconds with 18 queries