Wolf46 Опубликовано 6 октября, 2008 Жалоба Поделиться Опубликовано 6 октября, 2008 Помогите пожалуста. Возникли проблемы с системой- различные приложения начали вываливаться с ошибкой в неком адресе памяти. Подозревая вирус, в безопасном режиме просканировал касперским, он нашел ntos(удалить не смог) и некий nso12k.sys(подозрение в трояне, удаляет, но после ребута опять обнаруживает). Логи приложены, просьба не обращать особого внимания на то, что лежит на диске D - лежит с давних времен и с тех же времен не используется... virusinfo_syscheck.zip hijackthis.log virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 октября, 2008 Жалоба Поделиться Опубликовано 7 октября, 2008 (изменено) D:\!!gamelist_recov\copy.bat - знакомо? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('c:\windows\system32\svchost.exe','');QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');QuarantineFile('c:\windows\system32\mssrv32.exe','');QuarantineFile('WinCtrl32.dll','');QuarantineFile('C:\WINDOWS\system32\ntos.exe','');QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');QuarantineFile('C:\WINDOWS\system32\syssrv.sys','');QuarantineFile('C:\WINDOWS\system32\nso12k.sys','');QuarantineFile('d:\program files\vlc-0.8.6f\vlc.exe','');DeleteFile('C:\WINDOWS\system32\nso12k.sys');DeleteFile('C:\WINDOWS\system32\syssrv.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Wingj77.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winpc33.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winrl44.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winws11.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winxt55.sys');DeleteFile('C:\WINDOWS\system32\cssrss.exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');DeleteFile('WinCtrl32.dll');DeleteFile('c:\windows\system32\mssrv32.exe');DeleteFile('C:\WINDOWS\system32\mssrv32.exe');DeleteService('Winxt55');DeleteService('Winws11');DeleteService('Winrl44');DeleteService('Winpc33');DeleteService('Wingj77');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) Повторите логи. P>S> Все логи, AVZ не тронет файлы которые находятся на диске Д.....если волнуетесь запакуйте из в архив с паролем. Изменено 7 октября, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 7 октября, 2008 Автор Жалоба Поделиться Опубликовано 7 октября, 2008 Файлы карантина отправил, логи приложил virusinfo_syscheck.zip hijackthis.log virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 октября, 2008 Жалоба Поделиться Опубликовано 7 октября, 2008 C:\WINDOWS\system32\nso12k.sys - Trojan-Downloader.Win32.Agent.dbt Остальное уехало в вирлабы А где лог virusinfo_syscure? Когда выполняется скрипт №3, то работает антируткит AVZ он нужен. Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 7 октября, 2008 Автор Жалоба Поделиться Опубликовано 7 октября, 2008 C:\WINDOWS\system32\nso12k.sys - Trojan-Downloader.Win32.Agent.dbt несовсем понял, что с ним делать... только что заметил, что virusinfo_syscure старый, свежий почемуто не создается... virusinfo_syscure.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 октября, 2008 Жалоба Поделиться Опубликовано 7 октября, 2008 Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exeO2 - BHO: FieryAds advertising module v1.3.3 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - C:\PROGRA~1\FieryAds\FieryAds.dllO18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - C:\WINDOWS\twain_1g.dllO20 - AppInit_DLLs: Больше ничего по этим логам не вижу. Необходимо включить AVZPM и повторить логи AVZ Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 8 октября, 2008 Автор Жалоба Поделиться Опубликовано 8 октября, 2008 В HijackThis строки пофиксил, в avz запустил pm, выполнил скрипт №2 virusinfo_syscheck.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 8 октября, 2008 Жалоба Поделиться Опубликовано 8 октября, 2008 Больше ничего вредоносного не вижу....какие проблемы еще остались? Я бы рекомендовал удалить Bonjour Service Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 8 октября, 2008 Автор Жалоба Поделиться Опубликовано 8 октября, 2008 Больше ничего вредоносного не вижу....какие проблемы еще остались? Видимых проблем больше нет, огромное спасибо за помощь. Я бы рекомендовал удалить Bonjour Service сделаю. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти