Показано с 1 по 11 из 11.

ntos.exe (заявка № 16333)

  1. #1
    Junior Member Репутация
    Регистрация
    13.01.2008
    Сообщений
    5
    Вес репутации
    33

    Thumbs up ntos.exe

    Прошёл через NOD32 как горячий нож сквозь масло.
    Обнаружен был следующим образом. В папке system 32 были замечены два подозрительных свежих tmp файла, один именовался L287D.tmp, второй как-то очень похоже.
    Глубокая проверка NOD32 ничего не обнаружила, Kaspersky Online Scanner - тоже. AVZ4 при сканировании обнаружила при поиске перехватчиков API, работающих в UserMode множество перехваченных функций, но итоговый результат - "найдено вредоносных программ 0, подозрений - 0".
    Возникло подозрение, что пойман какой-то rootkit.
    Подозрительные tmp файлы были удалены при помощи AVZ4 с чисткой следов.
    В момент их удаления появилась (или стала видна) скрытая папка C:\WINDOWS\system32\wsnpoem в которой находились два скрытых файла: audio.dll 0 bytes и video.dll 0 bytes. Эти файлы AVZ4 удалить уже не могла, но стало понятно, что могло вызвать появление этих файлов. И действительно, в реестре была обнаружена запись
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\ntos.exe,
    Была предпринята попытка побороть ntos согласно рекомендации размещенной здесь: http://www.viruslist.com/ru/viruses/...virusid=164339
    Результат получился нулевой, а в реестре появились следующие записи:
    REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\ntos.exe_,C:\WINDOWS\system32\_ntos.ex e,C:\WINDOWS\system32\ntos.exe,
    Более того, после перезагрузки скрытая папка C:\WINDOWS\system32\wsnpoem перестала быть видима.
    Что ещё может заинтересовать:
    1) процесс ntos.exe активен несколько секунд после загрузки Windows потом он выгружается или маскируется (одновременно с ним активен userinit.exe);
    2) Сure it ничего не видит;
    3) В момент проверки сразу после инсталляции именно эту проблему видит Partizan (unhackme), но после перезагрузки компьютера по требованию самого Partizan'а он перестают что-либо видеть. Замечает снова только после сноса и повторной инсталляции в момент первой проверки.
    4) SDFix при запуске Catchme видит скрытые файлы, причем добавился audio.dll.cla и video.dll перестал быть пустым
    C:\WINDOWS\system32\wsnpoem
    C:\WINDOWS\system32\wsnpoem\audio.dll 0 bytes
    C:\WINDOWS\system32\wsnpoem\audio.dll.cla 291 bytes
    C:\WINDOWS\system32\wsnpoem\video.dll 3514 bytes
    C:\WINDOWS\system32\ntos.exe 481792 bytes executable
    Прошу специалистов помочь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    836
    1.В avz выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\_ntos.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys','');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');
     BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys');
     DeleteFile('C:\WINDOWS\system32\_ntos.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     ExecuteRepair(1);
     ExecuteRepair(5);
     ExecuteRepair(6);
     ExecuteRepair(16);
    BC_ImportALL;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Пофиксить в HiJackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe_,C:\WINDOWS\system32\_ntos.exe,C:\WINDOWS\system32\ntos.exe,
    3.Выслать карантин согласно приложению 3 правил
    Последний раз редактировалось zerocorporated; 13.01.2008 в 18:32.

  4. #3
    Junior Member Репутация
    Регистрация
    13.01.2008
    Сообщений
    5
    Вес репутации
    33
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    ...
    2.Пофиксить в HiJackThis
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    ...
    nwiz.exe - это утилита NVIDIA.
    Всё равно фиксить?

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от MMB Посмотреть сообщение
    nwiz.exe - это утилита NVIDIA.
    Всё равно фиксить?
    Не надо.

    Сделайте новые логи, начиная с п.10 правил.

    Добавлено через 54 секунды

    И карантин не забудьте прислать.
    Загружать тут: http://virusinfo.info/upload_virus.php?tid=16333
    Последний раз редактировалось Bratez; 13.01.2008 в 14:10. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    13.01.2008
    Сообщений
    5
    Вес репутации
    33
    Фиксить HiJackThis не пришлось - после выполнения скрипта и перезагрузки запись из реестра исчезла, так что HiJackThis ничего при сканировании не увидел.
    Новые логи - на скрепке.
    Карантин: "Файл сохранён как 080113_065850_virus_478a0b0a08e1d.zip"
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах ничего подозрительного ....
    что из этого не нужно ...

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  8. #7
    Junior Member Репутация
    Регистрация
    13.01.2008
    Сообщений
    5
    Вес репутации
    33
    Цитата Сообщение от V_Bond Посмотреть сообщение
    что из этого не нужно ...
    Большинство из вышеперечисленного не нужно.
    Есть ли где инструкция / сводные рекомендации по отключению не востребованных юзерами и потенциально опасных служб?
    Беглый просмотр нескольких тем форума позволил мне увидеть только часто задаваемый Helper'ами вопрос "что из этого не нужно?" и ... почти всегда молчание в ответ.
    Последний раз редактировалось MMB; 13.01.2008 в 23:58.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    локальная сеть есть \ нет ?
    компьютер домашний \ рабочий ?

  10. #9
    Junior Member Репутация
    Регистрация
    13.01.2008
    Сообщений
    5
    Вес репутации
    33
    Компьютер домашний.
    Локальная сеть есть.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,529
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.ne (DrWEB: Trojan.Proxy.2503)


  • Уважаемый(ая) MMB, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. ntos.exe
      От CandyMAN в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:47
    2. ntos.exe
      От Veselyi_Rodger в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:37
    3. ntos
      От micl в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.11.2008, 16:27
    4. ntos
      От Andy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.06.2008, 13:38
    5. Ntos.exe
      От Luka_ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.05.2008, 13:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00105 seconds with 23 queries