Kontra Опубликовано 21 ноября, 2007 Жалоба Поделиться Опубликовано 21 ноября, 2007 Оказывался на моем компьютере он уже не один раз. До этого спокойно удалялся прогой SDFix. (дня 2 назад эта прога без проблем удалила ntos.exe на компе подруги) в этот раз у меня он удаляться не хочет. (SDFix пишет, что не может открыть ntos.exe) отрывок лога Фикса - Trojan Files Found: C:\WINDOWS\system32\wsnpoem\audio.dll.cla - Deleted Could Not Remove C:\WINDOWS\system32\wsnpoem\audio.dll Could Not Remove C:\WINDOWS\system32\wsnpoem\video.dll Removing Temp Files... ADS Check: C:\WINDOWS\system32\ntoskrnl.exe No streams found. и лог HijackThis Logfile of HijackThis v1.99.1 Scan saved at 0:10:41, on 22.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\DrWeb\SpiderNT.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\WLTRAY.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\ZyDAS Technology Corporation\ORIENT_802.11g_Utility\ZDWlan.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\QIP\qip.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Total Commander\Totalcmd.exe C:\WINDOWS\TEMP\_tc\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\codeblocks.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - Global Startup: ORIENTWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ORIENT_802.11g_Utility\ZDWlan.exe O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{5D3AA852-D3B4-4FDA-B86F-05660BC4E382}: NameServer = 10.78.72.4 10.78.72.12 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe заранее спасибо за помощь Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 21 ноября, 2007 Жалоба Поделиться Опубликовано 21 ноября, 2007 (изменено) Поставь галочку и нажми Fix checked перед F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\codeblocks.exe,C:\WINDOWS\system32\ntos.exe, Скачай AVZ , Зайди в меню Файл--Выполнить скрипт. Скопируй код и нажми "Запустить". Компьютер перезагрузится. beginSetAVZGuardStatus(True);SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\codeblocks.exe'); BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');ExecuteSysClean;BC_Activate;RebootWindows(true);end. Перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. C:\WINDOWS\system32\ntoskrnl.exe К ntos.exe отношения не имеет. Изменено 21 ноября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Kontra Опубликовано 22 ноября, 2007 Автор Жалоба Поделиться Опубликовано 22 ноября, 2007 Все сделала, но вирус вроде бы все еще на месте avz_sysinfo.zip avz_sysinfo.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 22 ноября, 2007 Жалоба Поделиться Опубликовано 22 ноября, 2007 (изменено) C:\Windows\system32\DRIVERS\tcpip.sys Скопируй этот файл куда нибудь и проверь online-антивирусами http://virusscan.jotti.org/ Кажется остались только записи на автозагрузку ntos.exe. Выполни скрипт еще разок. beginSetAVZGuardStatus(True);SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');ExecuteSysClean;BC_Activate;RebootWindows(true);end. Изменено 22 ноября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Kontra Опубликовано 2 декабря, 2007 Автор Жалоба Поделиться Опубликовано 2 декабря, 2007 Файл не определяется как вирус ни одной прогой. С помощью скрипта ntos.exe не удалился. Теперь начались проблемы со звуком (SdFix теперь не может удалить и его dllшки) и торможение системы Можно ли еще что-нибудь сделать не переустанавливая винду? Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 2 декабря, 2007 Жалоба Поделиться Опубликовано 2 декабря, 2007 (изменено) С помощью скрипта ntos.exe не удалился. Где ты его видишь? Сделай логи еще раз, раз ты в чем-то сомневаешься. Изменено 2 декабря, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 2 декабря, 2007 Жалоба Поделиться Опубликовано 2 декабря, 2007 Думаю просто остались ссылки в реестре. Сделайте так: beginSearchRootkit(true, true);SetAVZGuardStatus(true);RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'userinit');RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'userinit');RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Userinit');DeleteFile('C:\WINDOWS\system32\ntos.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end. Ссылка на комментарий Поделиться на другие сайты Поделиться
Kontra Опубликовано 2 декабря, 2007 Автор Жалоба Поделиться Опубликовано 2 декабря, 2007 Вот лог Logfile of HijackThis v1.99.1 Scan saved at 22:58:28, on 02.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\DrWeb\SpiderNT.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\WLTRAY.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\ZyDAS Technology Corporation\ORIENT_802.11g_Utility\ZDWlan.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Total Commander\Totalcmd.exe C:\WINDOWS\TEMP\_tc\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O4 - Global Startup: ORIENTWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ORIENT_802.11g_Utility\ZDWlan.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{5D3AA852-D3B4-4FDA-B86F-05660BC4E382}: NameServer = 10.78.72.4 10.78.72.12 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe чистка реестра будет эффективной? Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 2 декабря, 2007 Жалоба Поделиться Опубликовано 2 декабря, 2007 Поставить галочки перед этими значениями и нажать Fix checked. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe А где лог AVZ? чистка реестра будет эффективной? Хуже точно не будет. Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 2 декабря, 2007 Жалоба Поделиться Опубликовано 2 декабря, 2007 Это драйвер для SATA его удаление может снести ОС ..... я это проходил. Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 2 декабря, 2007 Жалоба Поделиться Опубликовано 2 декабря, 2007 Это драйвер для SATA его удаление может снести ОС ..... я это проходил. Ты о каком драйвере? Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 2 декабря, 2007 Жалоба Поделиться Опубликовано 2 декабря, 2007 ser208: об ntos.exe ....правда могу ошибаться Алкоголь 120% его тоже использует. Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 2 декабря, 2007 Жалоба Поделиться Опубликовано 2 декабря, 2007 (изменено) ser208: об ntos.exe ....правда могу ошибаться Алкоголь 120% его тоже использует. Сегодня ты ошибся ;) а) драйвера не имеют расширение *.exe. б) этот файл вредоносный. в) ты наверное перепутал с sptd.sys. Изменено 2 декабря, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 2 декабря, 2007 Жалоба Поделиться Опубликовано 2 декабря, 2007 ser208: сорри ...ух очень похоже, а exe я конечно знаю Ссылка на комментарий Поделиться на другие сайты Поделиться
Kontra Опубликовано 2 декабря, 2007 Автор Жалоба Поделиться Опубликовано 2 декабря, 2007 Если я не ошибаюсь, нтос просто заменяет своим файлом значение usernit в реестре. один раз, когда мне его просто удалили, комп включался и сразу же после загрузки уходил на завершение сеанса вот лог - пока реестр не чистила avz_sysinfo.zip avz_sysinfo.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 2 декабря, 2007 Жалоба Поделиться Опубликовано 2 декабря, 2007 Выполни скрипт rubin-VInfo. В логе автозапуск файла из трех разных мест. Самого ntos.exe не видно (в конце концов ты же можешь проверить, включив показ скрытых файлов, если он не скрывается руткитом). Если бы его запуск не был скрытым, то у тебя должно было бы при входе в систему выскакивать окошко с предупреждением, что "Ошибка. Ntos.exe не найден" (что-то подобное). Ссылка на комментарий Поделиться на другие сайты Поделиться
Kontra Опубликовано 2 декабря, 2007 Автор Жалоба Поделиться Опубликовано 2 декабря, 2007 А где в настройках включить показ скрытых файлов? потом сделать это Поставить галочки перед этими значениями и нажать Fix checked. КодF2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe и почистить реестр? Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 2 декабря, 2007 Жалоба Поделиться Опубликовано 2 декабря, 2007 (изменено) А где в настройках включить показ скрытых файлов? Мой компьютер -- сервис -- свойства папки -- Вид потом сделать это Поставить галочки перед этими значениями и нажать Fix checked. КодF2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe Ты оказывается и в прошлый раз этого не сделала. Поэтому мы и пляшем с бубном ;) Это сделать в HijackThis после сканирования. и почистить реестр? Для это выполнить скрипт, который привел rubin-VInfo. Изменено 2 декабря, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Kontra Опубликовано 2 декабря, 2007 Автор Жалоба Поделиться Опубликовано 2 декабря, 2007 1. а я думала в проге AVZ скрытые файлы нужно где-то включить))) 2. хм. в прошлый раз точно делала 3. сейчас выполню скрипт и выложу лог Ссылка на комментарий Поделиться на другие сайты Поделиться
Kontra Опубликовано 2 декабря, 2007 Автор Жалоба Поделиться Опубликовано 2 декабря, 2007 Logfile of HijackThis v1.99.1 Scan saved at 0:46:28, on 03.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\DrWeb\SpiderNT.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\WLTRAY.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Agnitum\Outpost Firewall\feedback.exe C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\ZyDAS Technology Corporation\ORIENT_802.11g_Utility\ZDWlan.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Total Commander\Totalcmd.exe C:\WINDOWS\TEMP\_tc\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun O4 - Global Startup: ORIENTWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ORIENT_802.11g_Utility\ZDWlan.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe avz_sysinfo.zip avz_sysinfo.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 3 декабря, 2007 Жалоба Поделиться Опубликовано 3 декабря, 2007 Фиксьте F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, Затем не перезагружаясь скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(true);RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'userinit');RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Userinit');DelAutoRunByFileName('ntos.exe');SysCleanAddFile('ntos.exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');BC_Activate;ExecuteSysClean;RebootWindows(true);end. А вообще, у меня смутное подозрение, что Вы просто заражаетесь по новой... есть локальная сеть? антивирус? Не увидел, что есть новая страница... Тогда делаем так - фиксим: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\codeblocks.exe,C:\WINDOWS\system32\ntos.exe, И скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\ntos.exe');DeleteFile('C:\WINDOWS\system32\codeblocks.exe');BC_Activate;ExecuteSysClean;RebootWindows(true);end. В общем вышло, что для первого лога HiJackThis первая часть моего поста, для второго - вторая :) Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 3 декабря, 2007 Жалоба Поделиться Опубликовано 3 декабря, 2007 Тогда делаем так - фиксим: И скрипт: Уж по третьему кругу :D :) Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 3 декабря, 2007 Жалоба Поделиться Опубликовано 3 декабря, 2007 Угу... не могу понять почему DrWeb не работает - ведь все эти звери им отлично ловятся. Как вариант - скачать их лечащую утилиту CureIt, записать ее на компакт диск и прямо с диска запустить полную проверку... Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти