Добрый день.
Вчера поймал вирус. Пытался найти через McAfee и Kaspersky Online scan - оба антивируса сказали что система чистая.
Вручную убить файл ntos (из реестра) не получилось. Использовал утилиту klwk -она нашла следы в реестре но ничего не сделала, Воспользовался утилитой ZBotKiller. Она вирус обнаружила и убила все его файлы и записи в реестре.
НО! Не смотря на удаленный ntos невозможно выйти на некоторые сайты (например mcafee.com) невозможно запустить ряд файлов под своим именем:
cmd, regedit, wincmd32. При попытке запустить их происходит перезапуск Эксплорера (шела). Так же невозможно в свойствах папок включить возможность показывать скрытые файлы.
Во вложении лог программы Kaspersky Virus Removal Tool 7.0.0.260
Там что-то нашлось, но я не многое из этого смог извлечь. HiJack ничего интересного не показал.
Машина заражена была одна.
Помогите окончательно ликвидировать эту заразу ntos. Или возможно это некий новый вирус, которого антивирусы не знают.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Как сказали - все почистил. Эффекта ровно ноль...((
Самое неприятное - это невозможность windows commander запустить.
Сейчас запускаю все эти программы через PrKiller (там есть своя командная строка). Смотрел открытые порты - тоже вроде ничего нет. Никто наружу не лезет.
Может всетаки есть способ это лечить? Явно же перехват каких-то функций идет.
От отчаяния попробую завтра откатить SP3 от XP, но есть опасение что вообще система ляжет.
Это ноутбук Sony - его переустанавливать очень непростая задача ((
Прошу о помощи. Мне уже и самому интересно - что так мешаться может.
Я в этих данных ничего интересного не нашел. Но что-то же должно переключать галочку Показывать скрытые файлы и папки. Такое же ключем реестра не сделать!?
Последний раз редактировалось Rene-gad; 30.04.2009 в 22:31.
Все проблеммы на своем месте.
Я все обыскал - нигде никаких лишних процессов или потоков не нашел.
По какой-то причине продолжает вылетать Explorer при запуске программ cmd regedit32 и wincmd32 из Шела. Из Wincmd все те же программы стартуют нормально.
Из проводника вылетает с ошибкой 0x00fd1ea8 модуль duser.dll
Неопознанное устройство просто удалите в Диспетчере устройств.
Файлы cmd.exe и regedit.exe восстановите из дистрибутива или скопируйте из здоровой системы.
1 устройство каждый раз снова находится при запуске системы
2 файлы заменил - разницы никакой нет. Как между файлами по содержанию так и невозможности их запустить из шела. Так же пробовал cmd брать из 2003 сервера - тот же результат.
SP3 повторно накатить не удалось - система зависла в конце установке.
Похоже format c: - вот мой выбор..(( Похоже просто ZBotKiller или сам вирус с SP3 не очень совместимы и что-то теперь заглючило.
Добавлено через 7 часов 17 минут
Самое не понятное - почему переименованные файлы запускаются нормально ((
Как можно проверять имя файла во время запуска?
Прогнал еще запуск программ через regmon и filemon - тоже ничего нет ((
Последний раз редактировалось northstar2000; 02.05.2009 в 01:56.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: