Показано с 1 по 16 из 16.

ntos.exe (заявка № 21555)

  1. #1
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    32

    Thumbs up ntos.exe

    Здраствуйте!
    Не загружаеться обычный режим винды, сделал логи из безопасного.
    PS.
    Отключить восстановление системы не удалось...
    Последний раз редактировалось 44779; 26.05.2008 в 17:48.

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Ну и зоопарк

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Sxd62.sys\0000', 'CSConfigFlags', '1');
    QuarantineFile('C:\WINDOWS\Temp\iframestat.exe','');QuarantineFile('C:\WINDOWS\system32\hkco526.exe','');
    QuarantineFile('C:\WINDOWS\system32\drivers\Jpc40.sys','');
    QuarantineFile('C:\Program Files\tmp-1460014209.exe','');
    QuarantineFile('msindc.dll','');
    QuarantineFile('c:\autoex.dll','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Qnj38.sys ',' ');
    QuarantineFile('C:\WINDOWS\system32\luapvs.dll','');
    QuarantineFile('xlibgfl254.dll','');
    QuarantineFile('hgGwUnOf.dll','');
    QuarantineFile('WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
    QuarantineFile('C:\WINDOWS\system32\qnmrapcn.exe','');
    QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
    QuarantineFile('C:\WINDOWS\System32\wowfx.dll','');
    QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
    QuarantineFile('C:\WINDOWS\System32\maxpaynow1.exe','');
    QuarantineFile('C:\WINDOWS\System32\iyhljxir.dll','');
    QuarantineFile('C:\Documents and Settings\Администратор\cftmon.exe','');
    QuarantineFile('C:\Documents and Settings\All Users\Application Data\ctghifub\yropcvar.exe','');
    QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34C.tmp srv','');
    QuarantineFile('C:\Documents and Settings\я\ie_updates3r.exe','');
    QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\1893095943.exe','');
    QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34B.tmp srv','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd62.sys','');
    QuarantineFile('Qnj38.sys','');
    QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\System32\ssqNFYPG.dll','');
    QuarantineFile('C:\WINDOWS\System32\hgGwUnOf.dll','');
    QuarantineFile('c:\windows\system32\drivers\spools.exe','');
    TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
    DeleteService('Sxd62');
    DeleteService('Schedule');
    DeleteService('GoogleCryptSvc');
    DeleteService('Google Online Services');
    DeleteService('FastUserSwitchingCompatibilityWmiApSrv');
    DeleteService('FastUserSwitchingCompatibilityThemes');
    DeleteFile('c:\windows\system32\drivers\spools.exe');
    DeleteFile('C:\WINDOWS\System32\hgGwUnOf.dll');
    DeleteFile('C:\WINDOWS\System32\ssqNFYPG.dll');
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('Qnj38.sys');
    DeleteFile('C:\WINDOWS\System32\Drivers\Sxd62.sys');
    DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34B.tmp srv');
    DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\1893095943.exe');
    DeleteFile('C:\Documents and Settings\я\ie_updates3r.exe');
    DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34C.tmp srv');
    DeleteFile('C:\WINDOWS\System32\Drivers\Qnj38.sys ');
    DeleteFile('C:\Documents and Settings\All Users\Application Data\ctghifub\yropcvar.exe');
    DeleteFile('C:\Documents and Settings\Администратор\cftmon.exe');
    DeleteFile('C:\WINDOWS\System32\iyhljxir.dll');
    DeleteFile('C:\WINDOWS\System32\maxpaynow1.exe');
    DeleteFile('C:\WINDOWS\System32\ntos.exe');
    DeleteFile('C:\WINDOWS\System32\wind32.exe');
    DeleteFile('C:\WINDOWS\System32\wowfx.dll');
    DeleteFile('C:\WINDOWS\mrofinu27.exe');
    DeleteFile('C:\WINDOWS\system32\qnmrapcn.exe');
    DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
    DeleteFile('WLCtrl32.dll');
    DeleteFile('hgGwUnOf.dll');
    DeleteFile('xlibgfl254.dll');
    DeleteFile('C:\WINDOWS\system32\luapvs.dll');
    DeleteFile('c:\autoex.dll');
    DeleteFile('C:\Program Files\tmp-1460014209.exe');
    DeleteFile('C:\WINDOWS\system32\drivers\Jpc40.sys');
    DeleteFile('C:\WINDOWS\system32\hkco526.exe');
    DeleteFile('C:\WINDOWS\Temp\iframestat.exe');
    DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
    DelBHO('{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}');
    DelBHO('{06480563-2EBE-4899-94FE-46FFAAF270B5}');
    DelBHO('{EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(1 );
    ExecuteRepair(6 );
    ExecuteRepair(17 );
    ExecuteRepair(11 );
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21555

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".


    Повторите логи.
    Последний раз редактировалось Гриша; 15.04.2008 в 17:27.

  4. #3
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    32
    После перезагрузки проснулся спайдер и удалил пару вирусов, но експлорер не загрузился... Пришлось через диспетчер задач загрузить. Карантин выслал. Вот новые логи.
    Файл сохранён как 080415_085928_virus_4804b4c09325a.zip
    Размер файла 1344065
    MD5 4978de1784a4656ed6e7e6b5c6de3aaa
    Последний раз редактировалось 44779; 26.05.2008 в 17:48.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
    O2 - BHO: (no name) - {B38A8D6B-2AB0-4502-AEA6-67AA03C4A102} - C:\WINDOWS\System32\ssqNFYPG.dll (file missing)
    O2 - BHO: (no name) - {EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9} - C:\WINDOWS\System32\hgGwUnOf.dll (file missing)
    O2 - BHO: Min stor proj. - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing)
    O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\System32\alt.exe.exe
    O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\я\cftmon.exe
    O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\я\cftmon.exe
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe
    O4 - HKCU\..\Run: [kavir] C:\WINDOWS\kavir.exe
    O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\System32\spoolvs.exe
    O4 - HKCU\..\Run: [rxyswntr] C:\WINDOWS\system32\gnejklml.exe
    O20 - Winlogon Notify: hgGwUnOf - hgGwUnOf.dll (file missing)
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    O21 - SSODL: ChkMon - {04ec143d-5248-462d-abb6-a831e6905809} - C:\WINDOWS\Installer\{04ec143d-5248-462d-abb6-a831e6905809}\ChkMon.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\iSecurity.cpl','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd62.sys','');
     QuarantineFile('C:\WINDOWS\taskmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\gnejklml.exe','');
     DeleteFile('C:\WINDOWS\system32\gnejklml.exe');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sxd62.sys');
     DeleteFile('C:\Documents and Settings\я\cftmon.exe');
     DeleteFile('C:\WINDOWS\System32\alt.exe.exe');
     DeleteFile('C:\WINDOWS\System32\hgGwUnOf.dll');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Qnj38');
    BC_DeleteSvc('asc3550p');
    ExecuteSysClean;
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Карантин:

    iframestat.exe-Email-Worm.Win32.Zhelatin.wu

    hkco526.exe-Trojan-Downloader.Win32.Mutant.jz

    Jpc40.sys-Rootkit.Win32.Agent.aih

    tmp-1460014209.exe-Trojan-Downloader.Win32.Small.ivo

    msindc.dll-Trojan-Downloader.Win32.BHO.ev

    autoex.dll-not-a-virus:AdWare.Win32.BHO.ajq

    Qnj38.sys-Rootkit.Win32.Agent.aag

    hgGwUnOf.dll-свежий

    WLCtrl32.dll-Trojan-Downloader.Win32.Mutant.hx

    sysmgr.exe-свежий

    qnmrapcn.exe-свежий

    mrofinu27.exe-Trojan-Downloader.Win32.Homles.bf

    wowfx.dll-Trojan.Win32.Qhost.abh

    ntos.exe-Trojan-Spy.Win32.Zbot.axs

    maxpaynow1.exe-Trojan-Downloader.Win32.Tibs.yo

    iyhljxir.dll-not-a-virus:AdWare.Win32.Virtumonde.nvf

    cftmon.exe-Trojan-Downloader.Win32.Small.trp

    yropcvar.exe-свежий

    ssqNFYPG.dll-свежий

    spools.exe-Trojan-Downloader.Win32.Small.trp

    Веселая семейка

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    И неудивительно:
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    32
    спасибо
    надо ехать...
    до завтра

  9. #8
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    32
    Привет, это сного я)
    тут у меня есть два карантина: 15.04.08 и 16.04.08.
    какой лучьше отправить?
    Последний раз редактировалось 44779; 26.05.2008 в 17:48.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Оба давайте. Логи сейчас гляну.

    Добавлено через 6 минут

    1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

    2. Запустите, слева внизу нажмите File, затем найдите файлы:
    C:\WINDOWS\system32\WLCtrl32.dll
    C:\WINDOWS\system32\Drivers\Sxd62.sys
    и сделайте им Force Delete.

    3. Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    4. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('C:\WINDOWS\system32\Drivers\Sxd62.sys');
     DeleteFile('C:\WINDOWS\system32\hkco463.exe');
     DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Sxd62');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.

    Сделайте новый лог syscheck (п.10 правил).
    Последний раз редактировалось Bratez; 16.04.2008 в 12:01. Причина: Добавлено
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    32
    а вот и лог
    Последний раз редактировалось 44779; 26.05.2008 в 17:48.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Отлично! Главного врага победили, осталось совсем чуть-чуть
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\taskmon.exe');
     DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll');
     DeleteFile('C:\WINDOWS\System32\iSecurity.cpl');
     DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и сделайте еще раз логи, начиная с п.10 правил (надеюсь, последний).
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    32
    вот
    Последний раз редактировалось 44779; 26.05.2008 в 17:48.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Все нормально, осталось только пофиксить в HijackThis:
    Код:
    O2 - BHO: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\System32\ISECUR~1.CPL (file missing)
    O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor
    O20 - AppInit_DLLs: iSecurity.cpl
    O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\System32\ISECUR~1.CPL (file missing)
    Рекомендуется отключить все что вам не нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    И как можно скорее установить сервис-паки, иначе будете постоянным клиентом
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    32
    Всем ОГРОМНЫЙ РЕСПЕКТ!!!

    но мне тут еще один комп принесли

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Откройте новую тему.

  17. #16
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    32
    ок

    И ТЕБЕ БОЛЬШОЕ СПАСИБО!!!

    пока SP2 поставлю на этот тазик, а потом уже за другой буду браться...

  • Уважаемый(ая) 44779, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. ntos.exe
      От Veselyi_Rodger в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:37
    2. ntos.exe
      От MMB в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:25
    3. ntos
      От micl в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.11.2008, 16:27
    4. ntos
      От Andy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.06.2008, 13:38
    5. Ntos.exe
      От Luka_ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.05.2008, 13:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01565 seconds with 20 queries