Помогите пожайлуста на компе вирус, ах этот ntos.exe ....
Вирус(ы)
Помогите пожайлуста на компе вирус, ах этот ntos.exe ....
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А что это с вторым логом авз приключилось?
Отключить инет и антивирус.
Пофиксите в HijackThis:
Сразу же после фикса выполните скрипт в AVZ:Код:O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oub17.sys',''); QuarantineFile('C:\WINDOWS\system32\netdde.exe',''); QuarantineFile('C:\WINDOWS\system32\msdtc.exe',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Vls40.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Elr06.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\btserial.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll',''); DeleteFile('C:\WINDOWS\system32\wsnpoem\audio.dll'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Vls40.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22141
Сделать новые логи .
P.s. Вроде уже давно на форуме, а всё под админом зверей ловитеНе надоело?
Последний раз редактировалось drongo; 27.04.2008 в 19:35.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
выслал карантин и сделал логи
скачайте http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip ,распаковать
,
Отключить инет и антивирус.
запустить
меню File - найдите
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
C:\WINDOWS\system32\Drivers\Elr06.sys
правой кнопкой мыши - force delete ...
затем выполните скрипт avz :
1.2.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oub17.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('Vls40.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Vls40.sys'); BC_ImportALL; ExecuteSysClean; BC_QrSvc('Vls40'); BC_DeleteSvc('Vls40'); BC_DeleteSvc('Elr06'); BC_DeleteSvc('Oub17'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось drongo; 27.04.2008 в 21:42.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
готово. вот логи
c карантином вы промахнулись, в другой подпапке загляните, там должно много файлов быть
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Выслал карантин
Вы скрипт номер 2 из поста номер 4 выполнили? После него нужны новые логи, начиная с пункта 10 правил.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
скрипт номер 2 из поста номер 4 выдаёт
Ошибка скрипта: 'BEGIN' expected, позиция [1:1]
добавте BEGIN в начало скрипта ...
После перезагрузки компьютера пришлите карантин и сделайте новые логи, начиная с пункта 10 правил.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
готово , карантин тоже выслал
C:\WINDOWS\system32\mnmsrvc.exe
C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp
C:\WINDOWS\system32\netdde.exe
поищите через авз - сервис - поиск файлов на диске ... и пришлите по правилам ..
мусор убрать в hijackthis
Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\ O23 - Service: MSIServer - Unknown owner - C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp (file missing)
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp вот этого файла нет. а остальное выслал,
мусор убрал в hijackthis.
Последний раз редактировалось falkk; 27.04.2008 в 22:19.
выполните скрипт ...
C:\WINDOWS\system32\mnmsrvc.exeКод:begin ClearQuarantine; end.
C:\WINDOWS\system32\netdde.exe
добавте через поиск авз и пришлите ...
АВЗ файлы находит но в карантин добавить не могу.Жму Копировать отмеченные файлы в карантин ...захожу в карантин а там пусто.
Значит файлы проходят по базе безопасных потому и не копируются
Так что делать дальше ?
больше в логах ничего подозрительного ...
остались какие-то проблемы ?
Уважаемый(ая) falkk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
