Помогите пожайлуста на компе вирус, ах этот ntos.exe ....
Помогите пожайлуста на компе вирус, ах этот ntos.exe ....
А что это с вторым логом авз приключилось?
Отключить инет и антивирус.
Пофиксите в HijackThis:
Сразу же после фикса выполните скрипт в AVZ:Код:O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oub17.sys',''); QuarantineFile('C:\WINDOWS\system32\netdde.exe',''); QuarantineFile('C:\WINDOWS\system32\msdtc.exe',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Vls40.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Elr06.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\btserial.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll',''); DeleteFile('C:\WINDOWS\system32\wsnpoem\audio.dll'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Vls40.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22141
Сделать новые логи .
P.s. Вроде уже давно на форуме, а всё под админом зверей ловите Не надоело?
Последний раз редактировалось drongo; 27.04.2008 в 19:35.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
выслал карантин и сделал логи
скачайте http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip ,распаковать
,
Отключить инет и антивирус.
запустить
меню File - найдите
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
C:\WINDOWS\system32\Drivers\Elr06.sys
правой кнопкой мыши - force delete ...
затем выполните скрипт avz :
1.2.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Elr06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oub17.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('Vls40.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Vls40.sys'); BC_ImportALL; ExecuteSysClean; BC_QrSvc('Vls40'); BC_DeleteSvc('Vls40'); BC_DeleteSvc('Elr06'); BC_DeleteSvc('Oub17'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось drongo; 27.04.2008 в 21:42.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
готово. вот логи
c карантином вы промахнулись, в другой подпапке загляните, там должно много файлов быть
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Выслал карантин
Вы скрипт номер 2 из поста номер 4 выполнили? После него нужны новые логи, начиная с пункта 10 правил.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
скрипт номер 2 из поста номер 4 выдаёт
Ошибка скрипта: 'BEGIN' expected, позиция [1:1]
добавте BEGIN в начало скрипта ...
После перезагрузки компьютера пришлите карантин и сделайте новые логи, начиная с пункта 10 правил.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
готово , карантин тоже выслал
C:\WINDOWS\system32\mnmsrvc.exe
C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp
C:\WINDOWS\system32\netdde.exe
поищите через авз - сервис - поиск файлов на диске ... и пришлите по правилам ..
мусор убрать в hijackthis
Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\ O23 - Service: MSIServer - Unknown owner - C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp (file missing)
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
C:\DOCUME~1\sasha\LOCALS~1\Temp\6F.tmp вот этого файла нет. а остальное выслал,
мусор убрал в hijackthis.
Последний раз редактировалось falkk; 27.04.2008 в 22:19.
выполните скрипт ...
C:\WINDOWS\system32\mnmsrvc.exeКод:begin ClearQuarantine; end.
C:\WINDOWS\system32\netdde.exe
добавте через поиск авз и пришлите ...
АВЗ файлы находит но в карантин добавить не могу.Жму Копировать отмеченные файлы в карантин ...захожу в карантин а там пусто.
Значит файлы проходят по базе безопасных потому и не копируются
Так что делать дальше ?
больше в логах ничего подозрительного ...
остались какие-то проблемы ?
Уважаемый(ая) falkk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.