Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

не могу справиться с ntos.exe (заявка № 26817)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    14
    Вес репутации
    58

    Thumbs up не могу справиться с ntos.exe

    Здравствуйте! Не получается убрать ntos.exe. Авира постоянно отправляет скрытые объекты (всего 5 штук) в карантин, а перезагрузке он появляется снова. В системной папке его не видно, так же как и саму папку wsnpoem. В свойствах папки настройки отмечены на "отображать скрытые файлы и папки", но толку никакого. Ни папку wsnpoem, ни audio.dll, ни video.dll, ни ntos.exe, ни audio.dll.cla (всего 5 скрытых объектов) не видно. Так же он прописан в реестре, и при попытке, изменить ntos.exe на ntos.exe_ , после перезагрузки он снова себя восстанавливает. Помогите от него избавиться. Вот логи. Если что то не правильно, поправьте пожалуйста,т.к. я обыкновенный пользователь.
    Последний раз редактировалось sibdvor; 21.07.2008 в 18:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\pagepromoterbar.dll','');
     QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
     QuarantineFile('c:\z987gw.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe_','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg30.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winub30.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winou30.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq85.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq40.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winio17.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winel28.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\beeper.sys','');
     QuarantineFile('Redatmacprnr.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Redatmacprnr.sys','');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\beeper.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winel28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingn41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winio17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkq40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkq85.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winou30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsy41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winub30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyg30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyg41.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe_');
     DeleteService('Winub30');
     DeleteService('Winyg41');
     DeleteService('Winyg30');
     DeleteService('Beep');
     DeleteService('Winsy41');
     DeleteService('Winou30');
     DeleteService('Winkq85');
     DeleteService('Winkq40');
     DeleteService('Winio17');
     DeleteService('Wingn41');
     DeleteService('Winel28');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26817 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    14
    Вес репутации
    58
    Всё выполнила, вот новые логи. И ещё вопросик: на панели задач стало выскакивать окошко с текстом "Обновления для Вашего компьютера готовы" . Стоит ли их загружать?
    Карантин отправила.

  5. #4
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    14
    Вес репутации
    58
    вот логи.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('c:\z987gw.exe');
     DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
     DeleteFile('C:\WINDOWS\pagepromoterbar.dll');
     DelBHO('35A6E2B1-27A9-47D2-913C-559E1EF1D034');
     DelBHO('BA5D8DF9-1851-4660-B3AE-89E6E030AC34');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Redatmacprnr');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Записи в файл Hosts Вы вносили? Если не Вы их вносили (они подозрительные), то выполните такой скрипт в AVZ для очистки этого файла:
    Код:
    begin
    ClearHostsFile;
    end.
    Вот это Вам знакомо?:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FBC38B90-1BC1-40C4-8F10-3446E2E855A7}: NameServer = 217.70.106.5,217.70.96.34
    Если незнакомо, то пофиксите в HijackThis эту строчку.

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от sibdvor Посмотреть сообщение
    на панели задач стало выскакивать окошко с текстом "Обновления для Вашего компьютера готовы" .
    На панели эадач или в системном трее?

  8. #7
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    14
    Вес репутации
    58
    Большое Вам спасибо за помощь. Нет, ничего никуда я не вносила, и это мне не знакомо. Но я сейчас посмотрела свой регистрационный лист от Вебстрима - это мой сервер. Что делать? Тогда не фиксить? Следую Вашим рекомендациям. ntos.exe из реестра исчез. Сейчас всё остальное, прописанное Вами сделаю. И ещё: Восстановление системы пока не включать?

    Добавлено через 2 минуты

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    На панели эадач или в системном трее?
    Я в заблуждении - там, где время стоит - в правом нижнем уголке, щит потом остаётся с восклицательным знаком.
    Последний раз редактировалось sibdvor; 21.07.2008 в 19:54. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от sibdvor Посмотреть сообщение
    там, где время стоит - в правом нижнем уголке, щит потом остаётся с восклицательным знаком.
    Это и называется системный трей (System Tray). Если там стоит жёлтый щит с воскл. знаком - значит имеются новые обновления от Микрососфт. Их надо обязательно устанавливать.

  10. #9
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    14
    Вес репутации
    58
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Это и называется системный трей (System Tray). Если там стоит жёлтый щит с воскл. знаком - значит имеются новые обновления от Микрососфт. Их надо обязательно устанавливать.
    Спасибо за объяснения.

    А с этим что делать?

    "Но я сейчас посмотрела свой регистрационный лист от Вебстрима - это мой сервер. Что делать? Тогда не фиксить? "

    Попробовала выполнить скрипт для Hosts- мне пишет, что скрипт выполнен без ошибок.
    Последний раз редактировалось sibdvor; 21.07.2008 в 20:17. Причина: добавление

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от sibdvor Посмотреть сообщение
    А с этим что делать?
    Ну Вам же коллега абсолютно однозначно написал:
    Если незнакомо, то пофиксите в HijackThis эту строчку.
    А поскольку знакомо, то....

  12. #11
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    14
    Вес репутации
    58
    Вот новые логи.


    В папке sistem32 видна папка wsnpoem, в которой остались audio.dll, video.dll, audio.dll.cla
    Вложения Вложения
    Последний раз редактировалось sibdvor; 21.07.2008 в 21:00.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ничего зловредного не видно. Как работает система?

  14. #13
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    14
    Вес репутации
    58
    Система вроде работает нормально (да и раньше особых сбоев не было), но есть вот это:
    В папке sistem32 видна папка wsnpoem, в которой остались audio.dll, video.dll, audio.dll.cla

    Может всё это удалить вручную? Потому как :
    "Также вирус создает в системном каталоге Windows скрытый каталог с именем «wsnpoem», в котором находятся два пустых файла — «video.dll» и «audio.dll»." Но у меня они не пустые, и имеют вес в 22, 6, и 42 Кб
    Последний раз редактировалось sibdvor; 21.07.2008 в 21:17.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Пришлите эти файлы сюда http://virusinfo.info/upload_virus.php?tid=26817 в архиве с паролем virus.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    14
    Вес репутации
    58
    Почему то не получается. AVZ пишет в протоколе : "Ошибка карантина файла"
    "Карантин с использованием прямого чтения - ошибка"

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    BC_QrFile('c:\windows\system32\wsnpoem\audio.dll');
    BC_QrFile('c:\windows\system32\wsnpoem\video.dll');
    BC_QrFile('c:\windows\system32\wsnpoem\audio.dll.cla');
    BC_Activate;
    RebootWindows(true);
    end.
    Если карантин не пустой - закачайте его по ссылке, которую дал коллега kps.

  18. #17
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    14
    Вес репутации
    58
    Скрипт выполнила.
    А вот что мне пишет карантин

    Ошибка карантина файла, попытка прямого чтения (audio.dll video.dll audio.dll.cla)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\audio.dll video.dll audio.dll.cla)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\audio.dll video.dll audio.dll.cla)
    Карантин с использованием прямого чтения - ошибка

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от sibdvor Посмотреть сообщение
    А вот что мне пишет карантин
    Ошибка карантина файла, попытка прямого чтения
    А файлы эти Вы видите в проводнике? Скопруйте их вручную в архив с паролем virus и закачайте.

  20. #19
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    14
    Вес репутации
    58
    Да, они видны. Сейчас попробую.

    Добавлено через 7 минут

    Вот карантин с файлами

    Файл сохранён как 080721_155002_virus_4884f67a32fe8.zip
    Размер файла 887
    Последний раз редактировалось sibdvor; 22.07.2008 в 00:51. Причина: Добавлено

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от sibdvor Посмотреть сообщение
    Файл сохранён как 080721_155002_virus_4884f67a32fe8.zip
    Размер файла 887
    В карантине только INI-файлы. Сами DLL в карантин не попали.

  • Уважаемый(ая) sibdvor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Не могу сам справиться
      От PeterR в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.12.2010, 23:31
    2. Не могу справиться с вирусом
      От A67809R в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.01.2010, 01:23
    3. Ответов: 14
      Последнее сообщение: 22.02.2009, 05:17
    4. Помогите справиться с ntos.exe
      От Sergei_K в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.01.2009, 16:36
    5. ntos.exe не могу избавиться
      От SomeS в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 16.08.2007, 17:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00944 seconds with 20 queries