ntos

[CandyMAN]

Доброго дня всем.
На проблемной машинке стоит Trend Office. Уже традиционно пропускает заразу. Судя по симптомам антивирус все-таки отработал, но коряво. Проблема в том, что при попытке запустить любую программу выдает ошибку приложения чтения по адресу. И приложения не запускаются.
Удалось провести проверку CureIt и AVZ в безопасном режиме.
Из-за того что в безопасном режиме - информации в логах мало. Подскажите, что надо сделать, чтобы запустить программы в обычном режиме винды? А потом попытаться вылечить ее окончательно.

[CandyMAN]

Чуть не забыл о вложениях ...

[Гриша]

Отключите антивирус!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22735

Скачайте новую версию AVZ,обновите ее базы и повторите логи.

[CandyMAN]

Файл сохранён как 080512_023550_virus_4827f356a3b62.zip
Размер файла 584
MD5 ff3d42c3b8f98a2cf43f107f53877bf9

Логи будут чуть позже ...

[CandyMAN]

Вот и логи

[kps]

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\mHotkey.exe','');
 QuarantineFile('C:\Program Files\IMSI\FloorPlan 3D v7\Program\FrontLine.exe','');
 QuarantineFile('C:\WINDOWS\system32\dopdfmn5.dll','');
 QuarantineFile('C:\WINDOWS\system32\XESPJL.DLL','');
 DelBHO('{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\EXPLOR~1.SCR','');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 QuarantineFile('Pmqy69.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Pmqy69.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\P2k.sys','');
 QuarantineFile('NdisWon.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\NdisWon.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
 QuarantineFile('C:\WINDOWS\system32\atiatbxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\SENTINEL.SYS','');
 QuarantineFile('c:\windows\temp\hof2a5.exe','');
 DeleteFile('c:\windows\temp\hof2a5.exe');
 DeleteFile('C:\WINDOWS\system32\atiatbxx.sys');
 DeleteFile('NdisWon.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\NdisWon.sys');
 DeleteFile('Pmqy69.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Pmqy69.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Pmqy69');
BC_DeleteSvc('protect');
BC_DeleteSvc('atiatbxx');
BC_DeleteSvc('NdisWon');
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22735 ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Сделайте новые логи.
Как проблемы ?

[CandyMAN]

Файл сохранён как 080512_045748_virus_4828149c4d50b.zip
Размер файла 852811
MD5 af5ed9bcf880204163d3938930e9f812

Логи будут чуть позже ...
Пока состояние стабильное. Ошибок не выскакивает.

[Гриша]

avz00005.dta, dopdfmn5.dll, EXPLOR~1.scr_, FrontLine.exe_, mHotkey.exe_, P2k.sys, SENTINEL.sys1, XESPJL.dll1

Вредоносный код в файлах не обнаружен.

[CandyMAN]

Ну вот и логи...

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Выполнено.

Пока полет нормальный

[kps]

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
 QuarantineFile('c:\docume~1\sokolo~1\locals~1\temp\~e5d141.tmp','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин по правилам.

Зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
Понадобится установочный диск Windows.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Сделайте новые логи.

[CandyMAN]

Зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
Понадобится установочный диск Windows.

Боюсь, что из-за того, что понадобиться установочный диск, данную операцию выполнить затруднительно ... А если был накатан SP поверх установки, то программа корректно проверит системные файлы?

Логи готовы ...

[V_Bond]

А если был накатан SP поверх установки, то программа корректно проверит системные файлы?
...

нет ... нужен установочный уже с сервиспаком ...

[CandyMAN]

Файл сохранён как 080514_044144_virus_482ab3d8da752.zip
Размер файла 22779
MD5 e9893eb796bff96feb330a64caaebf9b

Запрошенный ранее карантин .... были проблемы с выходом в инет ... задержался

[V_Bond]

c:\docume~1\sokolo~1\locals~1\temp\~e5d141.tmp - чистый (от макровижин) ...
остались какие-то проблемы ?

[CandyMAN]

пока проблем не проявляется ...
будем надеяться, что все будет так же и дальше

[kps]

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 45
• В ходе лечения вредоносные программы в карантинах не обнаружены