последствия лечения вируса

[lamauser]

юзер лазил по нету, вдруг заорал дрвеб, он тыкал на удалить\лечить

теперь при запуске любого приложения выпрыгивает

Инструкция по адресу 0х0013а059 обратилась к памяти по адресу 0х00184000.

если не закрывать это окошко то мона запустить любое приложение, так же запускается всем путем запуска от имени...подозреваю что зверек сидит пугает....

ntos.exe- вот как пить дать вирусняк...но SDFix его не видит почему то

жду вердикта)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

1.Пофиксить в HijackThis следующие строчки )

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, 

Без перезагрузки

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\A9TI7614\xloader[1].exe','');QuarantineFile('C:\WINDOWS\system32\ntos.exe','');DeleteFile('C:\WINDOWS\system32\ntos.exe');DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\A9TI7614\xloader[1].exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

Повторите логи.

[lamauser]

ошибка ликвидирована :D

карантин отправил

логи готовы

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[ТроПа]

Врагов в логах нет.

По карантину ntos.exe - Trojan-Spy.Win32.Zbot.cnp, второй файл отправил на анализ.

[lamauser]

Врагов в логах нет.

По карантину ntos.exe - Trojan-Spy.Win32.Zbot.cnp, второй файл отправил на анализ.

Вот и чудно, с ntos сталкиваюсь достаточно часто, обычно сносил его в сейфе SDFixом.

И еще, я не понял смысл происходящего, я понимаю когда траф качают, систему для спама используют, пароли воруют, выдают сообщения типа *пришли смс получишь код остановки вируса*, в чем был смысл этого вируса? программа-шутник *глюко-генератор* с одним сообщением, какой в этом смысл.

Заставить сходить к соседу взять другую планку оперативки? или систему переставить?

[akoK]

Этот смысл пропал довольно таки давно.....сейчас всем правят деньги.

[ТроПа]

*пришли смс получишь код остановки вируса*, в чем был смысл этого вируса? программа-шутник *глюко-генератор* с одним сообщением, какой в этом смысл.

Конкретно для него нет описания есть в целом для семейства

Trojan-Spy — шпионские программы

Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

[lamauser]

ясно

спасибо за помощ :)