Показано с 1 по 14 из 14.

Zbot (который ntos.exe) (заявка № 31467)

  1. #1
    Junior Member Репутация
    Регистрация
    04.10.2008
    Сообщений
    7
    Вес репутации
    37

    Thumbs up Zbot (который ntos.exe)

    Вообщем, гуляя в инете, подцепил эту дрянь.

    Сначала NOD32 крикнул, что в C:\WINDOWS\system32\ появился nso12k.sys, который является Win32/Agent.NLI
    Далее в C:\WINDOWS\system32\ подгрузился cssrss.exe. Вроде как NOD32 оба файла отправил в карантин. Через секунд 10 NOD32 вообще перестал работать, далее перестали запускаться все остальные программы. Загрузился в безопасном режиме, просмотрел все файлы созданные за последний час на диске С, стер ~3 трояна из папки Temp и Documents and Settings. Далее наткнулся на ntos.exe, audio.dll и video.dll. Никак не смог удалить эти файлы - доступ к ним запрещен.

    Посмотрел в инете про этот вирь, в реестре сделал так:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] поменял
    "UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
    Загрузился с LiveCD, удалил ntos.exe, audio.dll, video.dll + еще что-то вроде v87bs38d.sys

    Загрузился в обычном режиме, программы вновь работают, антивирь тоже.
    Но меня мучает параноя, может я чего не стер и мои пароли по-тихоньку уплывают в инет?

    п.с. первый лог virusinfo_syscure.zip не прицепил, т.к. не доверяю я что-то автоматическому лечению AVZ =\
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2502
    Без третьего лога нам будет трудно вынести вердикт.

    Все что удаляет АВЗ можно запросто восстановить из карантина, и после этого м.б. убить еще раз
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    04.10.2008
    Сообщений
    7
    Вес репутации
    37
    Третий лог прикрепил.
    Вы просто посмотрите логи на наличие подзрительных файлов? Все таки хотелось бы получить рекомендации по борьбе конкретно с этим вирусом.
    п.с. то, что в логе будет dns_sd.exe, который Trojan-PSW.Win32.VB.se - это сервис от фотошопа и угрозы он не несет.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    отключите восстановление системы
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\DOCUME~1\НЕКИТ\LOCALS~1\Temp\ALSysIO.sys','');
    end.
    пришлите карантин согласно приложения 3 правил

  6. #5
    Junior Member Репутация
    Регистрация
    04.10.2008
    Сообщений
    7
    Вес репутации
    37
    Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\НЕКИТ\LOCALS~1\Temp\ALSysIO.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка...

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    выполните скрипт
    Код:
    begin
     DeleteFile('C:\DOCUME~1\ÍÅÊÈÒ\LOCALS~1\Temp\ALSysIO.sys');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    virusinfo_syscheck.zip повторите

  8. #7
    Junior Member Репутация
    Регистрация
    04.10.2008
    Сообщений
    7
    Вес репутации
    37
    Сейчас сделаю.
    Вчера успел сохранить несколько образцов вирей/троянов/руткитов перед удалением. Нужно их куда-то залить?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    можно , согласно приложения 2 правил

  10. #9
    Junior Member Репутация
    Регистрация
    04.10.2008
    Сообщений
    7
    Вес репутации
    37
    Загрузил основной файл.
    Судя по анализу http://anubis.iseclab.org/result.php...aed9&refresh=1 видно, что это главный файл, который из себя извелкает сам руткит (ntos.exe) и плюс ddos.exe...

    Скрипт выполнил.

    Пока вроде никаких проявлений малвары не видно, но все же... Жду ответа
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 06.10.2008 в 20:58.

  11. #10
    Junior Member Репутация
    Регистрация
    04.10.2008
    Сообщений
    7
    Вес репутации
    37
    Вы меня игнорируете?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    в логе ничего плохого

  13. #12
    Junior Member Репутация
    Регистрация
    04.10.2008
    Сообщений
    7
    Вес репутации
    37
    Т.е. все нормально, малвары нет?

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1789
    То есть нет

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \\test[1].exe - Trojan-Dropper.Win32.Agent.xov (DrWEB: Trojan.PWS.Panda.24)


  • Уважаемый(ая) Nek1t, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Spy.Zbot.ZR.
      От bimer в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.04.2012, 22:30
    2. Win32/Spy.Zbot.ZR
      От BloodDeath в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 17.04.2012, 18:20
    3. spy.Zbot.ZR
      От jiger в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.02.2012, 07:25
    4. Zbot
      От DeadDream в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.11.2011, 11:10
    5. Spy.Zbot.UN
      От Murzilych в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.11.2009, 03:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00852 seconds with 17 queries