[AliVe]

Извиняюсь за немного неверное название темы...

[yurfed]

AliVe, пофикси в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{77514486-9A48-4383-9513-BC2F94A4AE8E}: NameServer = 10.0.0.2

Цитата:

Проверьте вашу папку SYSTEM32 на наличие в ней ntos.exe и/или userinit.exe файлов. Если таковые есть тоже не паникуйте а выполните следующие действия, предлагаемые на сайте SecurityLab: Путем добавления любого символа в конец имени вредоносного модуля изменить значение ключа системного реестра (Пуск/Выполнить/regedit). Например: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "UserInit" = "%System%\userinit.exe, %System%\ntos.exe_" Перезагрузить компьютер. Вручную удалить следующий файл из системного каталога Windows: ntos.exe

По логам AVZ тоже очень много нехорошего. Сам я в скрипты AVZ не вникал, но думаю ребята (Severny или Pili) помогут.

[AliVe]

yurfed, Что ж, спасибо Вам за совет, будем ждать советов других. Файла ntos.exe не обнаружено. Программа UnhackMe вроде-бы обнаружила руткиты в системе. Пока что ничего не трогаю.

Цитата yurfed:

O17 - HKLM\System\CCS\Services\Tcpip\..\{77514486-9A48-4383-9513-BC2F94A4AE8E}: NameServer = 10.0.0.2 »

Хм... Только что посмотрел в вышеупомянутом UnHackMe, и это -> {77514486-9A48-4383-9513-BC2F94A4AE8E} программа квалифицирует как Trojan Class : Hacker Defender Rootkit.

[Котяра]

Цитата AliVe:

Хм... Только что посмотрел в вышеупомянутом UnHackMe, и это -> {77514486-9A48-4383-9513-BC2F94A4AE8E} программа квалифицирует как Trojan Class : Hacker Defender Rootkit. »

Сказано же:

Цитата yurfed:

пофикси в HijackThis »

[yurfed]

AliVe, посмотри в system.ini строку UserInit=C:\WINDOWS\System32\userinit.exe. Закомментируй её.
Отключи восстановление, пройдись в безопасном режиме CureIt

[AliVe]

yurfed,

Цитата AliVe:

1) не запускается в безопасном режиме »

...

Цитата yurfed:

посмотри в system.ini строку UserInit=C:\WINDOWS\System32\userinit.exe »

Такой строки нету.

В HiJackThis пофиксил.

[AliVe]

В общем полазил я и прояснилось следующее: были 2 руткита, которые я потом удалил с помощью утилиты UnhackMe. Также выяснилось, что в system32/Drivers лежит файл .exe (да, так и называется, .exe), который невозможно удалить даже с помощью комплекса программ от RegRun (Unknown error). Квалифицируется сей файл, как W32.Dotex.
.exe is W32.Dotex.
W32.Dotex is a worm that copies itself to the root of all drives and downloads potentially malicious files on to the compromised computer. It also attempts to disable various antivirus programs. Kill the process .exe and remove .exe from Windows startup using RegRun Reanimator.

Кто что может сказать по этому поводу?

[Severny]

В AVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить".

Цитата:

begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\ldapi32.exe',''); QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll',''); QuarantineFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\FileDisk.sys',''); QuarantineFile('.sys',''); BC_ImportAll; ExecuteRepair(6); ExecuteRepair(10); ExecuteRepair(13); BC_Activate; RebootWindows(true); end.

После перезагурзки еще один скрипт и вышли папку "Quarantine" мне в PM.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Проверка CureIt как видно не выполнялась. Проведи сканирование системного диска в безопасном режиме.
Если после выполнения скрипта безопасный не заработал, попробуй этот *.reg.
Разберись с этим:

читать дальше »

C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR/{RAR}/startcmd.dll >>> подозрение на AdvWare.DigitalNames.a ( 005CD525 00000000 001A7E30 001C9CAC 36864)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR)
C:\disk\kerya\Проги\Installers\PersonalDesktopSpy-v2.10-setup.exe >>>>> Monitor.Win32.DesktopSpy удаление запрещено настройкой
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip/{ZIP}/DragonV4.0-small/DragonScript/System/dlls/sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe/{RAR-SFX}/script\dlls\sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\Скрипты\Satanist\Satanist.zip/{ZIP}/Satanist/SaTaNist.exe >>>>> Backdoor.Win32.mIRC-based
C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll >>>>> Trojan-PSW.Win32.OnLineGames.zex удаление запрещено настройкой
C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar/{RAR}/Evelina.exe >>> подозрение на Email-Worm.Win32.Warezov.mo ( 004397C8 000EB9C4 0016325F 001FE1C0 40960)
Файл успешно помещен в карантин (C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe)

[AliVe]

Quarantine отправил. Проверку CureIt выполнил (спасибо, компьютер загрузился из безопасного режима). Обнаружен вирус Backdoor.Dosia в файле system32/ldapi.exe, действие - удалено. Также обнаружен вирус в "C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll" - Win32.Oliga[Trj]. Что посоветуешь делать далее?