Присутствовали ntos, wincomm32 и еще ряд неприятный гостей.
Что мог - порубил, но какая-то гадость еще осталась - AVZ находит перехватчика.
Помогите найти и уничтожить, пожалуйста.
Присутствовали ntos, wincomm32 и еще ряд неприятный гостей.
Что мог - порубил, но какая-то гадость еще осталась - AVZ находит перехватчика.
Помогите найти и уничтожить, пожалуйста.
Последний раз редактировалось Dexer; 19.01.2010 в 08:29.
Все нормально, осталось только пофиксить в HijackThis:
Для контроля перезагрузитесь и повторите лог HijackThis.Код:F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Рекомендуется отключить все что вам не нужно из этого списка:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
Продолжает висеть.
Попытка удалить ntos через отложенное удаление AVZ тоже не удается. При выборе ntos появляется окно "Файл уже используется другим приложением".
Даже в безопасном режиме и при диагностическом запуске (msconfig).
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21209).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
БОЛЬШОЕ СПАСИБО!
Все чисто (насколько я могу судить).
Карантин выслал.
ntos.exe - Trojan-PSW.Win32.Broker.a
Он действительно у вас был, хотя по логам я вначале подумал, что это только следы. Для контроля нужны новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ntos.exe - Trojan-PSW.Win32.Broker.a (DrWEB: Trojan.Packed.511)
Уважаемый(ая) Dexer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.