Wolf46 Опубликовано 6 октября, 2008 Жалоба Поделиться Опубликовано 6 октября, 2008 Помогите пожалуста. Возникли проблемы с системой- различные приложения начали вываливаться с ошибкой в неком адресе памяти. Подозревая вирус, в безопасном режиме просканировал касперским, он нашел ntos(удалить не смог) и некий nso12k.sys(подозрение в трояне, удаляет, но после ребута опять обнаруживает). Логи приложены, просьба не обращать особого внимания на то, что лежит на диске D - лежит с давних времен и с тех же времен не используется... virusinfo_syscheck.zip hijackthis.log virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 октября, 2008 Жалоба Поделиться Опубликовано 7 октября, 2008 (изменено) D:\!!gamelist_recov\copy.bat - знакомо? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('c:\windows\system32\svchost.exe','');QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');QuarantineFile('c:\windows\system32\mssrv32.exe','');QuarantineFile('WinCtrl32.dll','');QuarantineFile('C:\WINDOWS\system32\ntos.exe','');QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');QuarantineFile('C:\WINDOWS\system32\syssrv.sys','');QuarantineFile('C:\WINDOWS\system32\nso12k.sys','');QuarantineFile('d:\program files\vlc-0.8.6f\vlc.exe','');DeleteFile('C:\WINDOWS\system32\nso12k.sys');DeleteFile('C:\WINDOWS\system32\syssrv.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Wingj77.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winpc33.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winrl44.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winws11.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winxt55.sys');DeleteFile('C:\WINDOWS\system32\cssrss.exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');DeleteFile('WinCtrl32.dll');DeleteFile('c:\windows\system32\mssrv32.exe');DeleteFile('C:\WINDOWS\system32\mssrv32.exe');DeleteService('Winxt55');DeleteService('Winws11');DeleteService('Winrl44');DeleteService('Winpc33');DeleteService('Wingj77');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) Повторите логи. P>S> Все логи, AVZ не тронет файлы которые находятся на диске Д.....если волнуетесь запакуйте из в архив с паролем. Изменено 7 октября, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 7 октября, 2008 Автор Жалоба Поделиться Опубликовано 7 октября, 2008 Файлы карантина отправил, логи приложил virusinfo_syscheck.zip hijackthis.log virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 октября, 2008 Жалоба Поделиться Опубликовано 7 октября, 2008 C:\WINDOWS\system32\nso12k.sys - Trojan-Downloader.Win32.Agent.dbt Остальное уехало в вирлабы А где лог virusinfo_syscure? Когда выполняется скрипт №3, то работает антируткит AVZ он нужен. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 7 октября, 2008 Автор Жалоба Поделиться Опубликовано 7 октября, 2008 C:\WINDOWS\system32\nso12k.sys - Trojan-Downloader.Win32.Agent.dbt несовсем понял, что с ним делать... только что заметил, что virusinfo_syscure старый, свежий почемуто не создается... virusinfo_syscure.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 октября, 2008 Жалоба Поделиться Опубликовано 7 октября, 2008 Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exeO2 - BHO: FieryAds advertising module v1.3.3 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - C:\PROGRA~1\FieryAds\FieryAds.dllO18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - C:\WINDOWS\twain_1g.dllO20 - AppInit_DLLs: Больше ничего по этим логам не вижу. Необходимо включить AVZPM и повторить логи AVZ Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 8 октября, 2008 Автор Жалоба Поделиться Опубликовано 8 октября, 2008 В HijackThis строки пофиксил, в avz запустил pm, выполнил скрипт №2 virusinfo_syscheck.zip virusinfo_syscheck.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 8 октября, 2008 Жалоба Поделиться Опубликовано 8 октября, 2008 Больше ничего вредоносного не вижу....какие проблемы еще остались? Я бы рекомендовал удалить Bonjour Service Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 8 октября, 2008 Автор Жалоба Поделиться Опубликовано 8 октября, 2008 Больше ничего вредоносного не вижу....какие проблемы еще остались? Видимых проблем больше нет, огромное спасибо за помощь. Я бы рекомендовал удалить Bonjour Service сделаю. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.