Показано с 1 по 10 из 10.

NTOS.EXE (заявка № 20461)

  1. #1
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    4
    Вес репутации
    32

    Thumbs up NTOS.EXE

    Здравствуйте!
    При загрузке компьютера появляется окно:
    -------------------------------------
    ntos.exe - Ошибка приложения
    Инструкция по адресу "0х00409b2e" обратилась к памяти по адресу "0х00154000". Память не может быть "read".
    "OK" - завершение программы
    "Отмена" - отладка приложения
    -------------------------------------
    DrWEB и AdAware SE не обнаружили ничего похожего.
    SpyBot-S&D - нашел ntos, проблемы с реестром, скрытую папку "...poem" в System32, сообщил, что большинство проблем решил, но не смог удалить папку. При перезапуске компьютера первым вновь появляется указанное окно, затем начинается сканирование SpyBot-S&D, затем старт системы.
    Из известных мне проблем - перестал запускаться QIP.
    Судя по обсуждениям, проблема хорошо известна, однако общие приемы пока не помогли. Не откажите в просьбе выслать лекарство.
    С уважением, HotCooler.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Отключите Ad-aware и S&D.
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe_,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe_','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe_');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=20461).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    4
    Вес репутации
    32
    Уважаемый Bratez!
    Ваши предписания выполнил. Каков режим реанимации?
    Или жизнь наладилась?
    С уважением, HotCooler.

    Добавлено через 1 минуту

    Уважаемый Bratez!
    Ваши предписания выполнил. Каков режим реанимации?
    Или жизнь наладилась?
    С уважением, HotCooler.
    Последний раз редактировалось HotCooler; 26.03.2008 в 17:06. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    C:\WINDOWS\system32\DRIVERS\secdrv.sys - Trojan-PSW.Win32.Agent.aeg
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи после ребута, плиз.
    Последний раз редактировалось Rene-gad; 26.03.2008 в 17:22.

  6. #5
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    4
    Вес репутации
    32
    Уважаемый Rene-gad!
    После ребута и сканирования логи AVZ и Hijackthis:
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    @HotCooler
    Эту программу сами ставили?
    C:\Program Files\Quintura Inc\Quintura Search\
    Если да - то больше ничего подозрительного не нашел.
    Если нет - удалите ее через управление приложениями.
    Как проходит полет?

  8. #7
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    4
    Вес репутации
    32
    Уважаемый Rene-gad!
    Quintura - ассоциативный поисковик, ставил сам.
    Окно с ntos.exe более не появлялось.
    Как вы считаете, нужно ли еще что-нибудь подметать, кровь смывать (отьносительно ntos.exe)? Восстановление системы восстановить? Или есть что-то типа "Памятки после лечения"?
    Спасибо за ценную помощь и за руководство по Службам. Видно, без жареного петуха мы (по крайней мере, я) не можем.
    Еще раз большое спасибо!
    С уважением, HotCooler.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от HotCooler Посмотреть сообщение
    Восстановление системы восстановить? Или есть что-то типа "Памятки после лечения"?
    Восстановление системы - как Вам нравится. У меня работает, у некоторых - нет. Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista"
    Насчет ntosa- он себя не проявляет. В принципе 100%-чиста только свежеустановленная система до первого выхода в сеть .

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    C:\Program Files\Advantech\Adsapi\Examples\Delphi\AD_SOFT\ADS OFT.exe
    C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe
    C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe
    C:\WINDOWS\Installer\d39898.msi
    Послать Олегу Зайцеву , пусть посмотрит и поправит детектор.

    Советы, как обычно: под админом не сидеть, а только под ограниченным пользователем, особенно в инете Для инета firefox+noscript.
    систем рестор можно включить, только толку от неё мало, лучше имидж диска сделать например с акронисом.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,507
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\secdrv.sys - Trojan-PSW.Win32.Agent.aeg (DrWEB: Trojan.NtRootKit.985)
      2. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.aoj (DrWEB: Trojan.Packed.424)


  • Уважаемый(ая) HotCooler, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. ntos.exe
      От Veselyi_Rodger в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:37
    2. ntos.exe
      От MMB в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:25
    3. ntos
      От micl в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.11.2008, 16:27
    4. ntos
      От Andy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.06.2008, 13:38
    5. Ntos.exe
      От Luka_ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.05.2008, 13:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01134 seconds with 23 queries