ntos.exe, перехваченные процессы и другое

[Irina786]

здравствуйте уважаемый коллектив этого форума!!

У меня возникла большая проблема. В автозагрузке прописался ntos.exe. Я узнала что это вирус и мне посоветовали AVZ для диагностики. AVZ показала кроме него много гадостей: перехваченные процессы и еще другие проблемы. К сожалению я усугубила ситуацию так как попыталась сама чтото делать что то удалять (ссылка на форум просто не попалась на глаза- я очень волновалась, это мой рабочий комп). Например я подумала что повреждены системные файлы и попыталась сделать обновление виндоуз и тп. Но при перезагрузке возник черный экран и теперь комп видит две системы - собственно виндоуз ХР2 про и виндоуз ХР Setap. Я прошу меня простить за ошибки, я делаю подобное в первый раз!! Я старалась сделать все по правилам, но пункт 8 не выполняется - сразу создается virusinfo_syscheck.zip, т е не получается virusinfo_syscure.zip

Еще раз прошу прощения если чтото не так делаю !!! Но у меня получилось только 2 лога! Если вы сможете мне что нибудь посоветовать или помочь с чемто я буду очень благодарна!!

[drongo]

Выполните скрипт @ avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
 QuarantineFile('C:\WINDOWS\system32\strike12.dll','');
 DelBHO('{531BE052-76FC-4b05-9CCD-AF6AA265113C}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\blphcgr5j0eg19.scr','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\tkM04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\vlV48.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('\systemroot\system32\drivers\tdssserv.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Jgi47.sys','');
 QuarantineFile('C:\WINDOWS\aticlocklib.dll','');
 DeleteFile('\systemroot\system32\drivers\tdssserv.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\vlV48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\tkM04.sys');
 DeleteFile('C:\WINDOWS\system32\blphcgr5j0eg19.scr');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\strike12.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Jgi47.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('tkM04');
BC_DeleteSvc('vlV48');
BC_DeleteSvc('tkM04');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Jgi47r');
BC_Activate;
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.

Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Сделайте повторные логи по правилам. ( Должен получиться и не достающий лог ) Прикрепите логи к новому сообщению.

[Irina786]

Скрипт кажется выполнился, но компьютер не перезагрузился - с рабочего стола исчезли все иконки и все. использовала принудительную перезагрузку. Не знаю нужна ли такая информация, но или изза вирусов или изза того что прерванным обновлением я повредила виндоуз но ОС иногда не загружается (после лого загрузки вместо приветствия - черный экран). Я удалила из boot.ini запись о виндоуз хр сетап и папку $WIN_NT$.~BT из корня С (там я так понимаю лежали файлы как бы второй ОС). Если при загрузке возникает черный экран я захожу в безопасном режиме, потом из него перезагружаюсь - и виндоуз загружается. на всякий случай вот boot.ini:

[Boot Loader]
Timeout=5
Default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[Operating Systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional RU" /noexecute=optin /fastdetect



после перезагрузки опять создался только virusinfo_syschek.zip

И пожалуста поясните какие файлы нужно положить в карантин? где нужно это посмотреть?

[Rene-gad]

Я удалила из boot.ini

Не нужно менять на переправе коней. Восстановите файл в первозданном виде.

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\SYSTEM32\WinCtrl32.bak
C:\WINDOWS\SYSTEM32\WinCtrl32.dl_
C:\WINDOWS\System32\Drivers\Jgi47.sys

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

- Выполните скрипт 1

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Jgi47');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jgi47.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jgi47.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('Jgi47');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Выполните скрипт 2

Код:

begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил) - ответ на Ваш вопрос?
- Прикрепите логи к новому сообщению.

[Irina786]

Нашла 2 файла из 4:

C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Jgi47.sys

файлы удалены IceSword. zip приложен через ссылку в шапке темы с паролем. после выполнения второго скрипта компьютер перезагрузился сам. Брандмауер виндоус больше не отключается самостоятельно.
Не создается лог virusinfo_syschek.zip (могу ли я делать что то не так ведь пункты 8 и 10 абсолютно одинаковые?)

AVZ при обычной проверке находит подозрения в библиотеке WinNt32 (несколько) и в трех .sys в папке system32/drivers

[Rene-gad]

Не создается лог virusinfo_syschek.zip (могу ли я делать что то не так ведь пункты 8 и 10 абсолютно одинаковые?)

Нет,они абсолютно разные. Для тренировки внимания даю Вам возможнность самой найти различия.
А лог virusinfo_syschek.zip кстати создался и Вы его прикрепили.


IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\System32\Drivers\Jgi47.sys

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{9D7050F8-1E17-4998-B235-A1A41E8B4716}: NameServer = 85.255.114.93,85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDDBF7B4-17DA-4477-8225-7C0BC927E023}: NameServer = 85.255.114.93,85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{C98D1982-EFFA-44D5-8650-CCCAF879CF38}: NameServer = 85.255.114.93,85.255.112.122
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.93 85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.93 85.255.112.122

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Jgi47');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jgi47.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jgi47.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('Jgi47');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Irina786]

разобралась

прилагаю три лога и архив карантина от AVZ

[Rene-gad]

1. Скачать архив: http://freenet-homepage.de/rene-gad/123.zip
2. Распаковать не в темп-папку, напр. C:\123
3. Файл 123.pif - переименованный Avenger - запустить
4. Подтвердить все, откроется окно.
5. Поставить галку Scan for Rootkits
6. Скопировать скрипт в окно:

Код:

files to delete: 
C:\WINDOWS\System32\Drivers\Jgi47.sys
C:\WINDOWS\system32\drivers\Djd03.sys
C:\WINDOWS\system32\drivers\Sgo60.sys
C:\WINDOWS\system32\drivers\Sjt68.sys
C:\WINDOWS\system32\WinData.cab
C:\WINDOWS\system32\WinNt32(10).dll
C:\WINDOWS\system32\WinNt32(11).dll
C:\WINDOWS\system32\WinNt32(12).dll
C:\WINDOWS\system32\WinNt32(13).dll
C:\WINDOWS\system32\WinNt32(14).dll
C:\WINDOWS\system32\WinNt32(15).dll
C:\WINDOWS\system32\WinNt32(16).dll
C:\WINDOWS\system32\WinNt32(17).dll
C:\WINDOWS\system32\WinNt32(18).dll
C:\WINDOWS\system32\WinNt32(19).dll
C:\WINDOWS\system32\WinNt32(2).dll
C:\WINDOWS\system32\WinNt32(20).dll
C:\WINDOWS\system32\WinNt32(21).dll
C:\WINDOWS\system32\WinNt32(22).dll
C:\WINDOWS\system32\WinNt32(23).dll
C:\WINDOWS\system32\WinNt32(24).dll
C:\WINDOWS\system32\WinNt32(25).dll
C:\WINDOWS\system32\WinNt32(26).dll
C:\WINDOWS\system32\WinNt32(27).dll
C:\WINDOWS\system32\WinNt32(28).dll
C:\WINDOWS\system32\WinNt32(29).dll
C:\WINDOWS\system32\WinNt32(3).dll
C:\WINDOWS\system32\WinNt32(30).dll
C:\WINDOWS\system32\WinNt32(31).dll
C:\WINDOWS\system32\WinNt32(32).dll
C:\WINDOWS\system32\WinNt32(33).dll
C:\WINDOWS\system32\WinNt32(34).dll
C:\WINDOWS\system32\WinNt32(35).dll
C:\WINDOWS\system32\WinNt32(36).dll
C:\WINDOWS\system32\WinNt32(37).dll
C:\WINDOWS\system32\WinNt32(4).dll
C:\WINDOWS\system32\WinNt32(40).dll
C:\WINDOWS\system32\WinNt32(5).dll
C:\WINDOWS\system32\WinNt32(6).dll
C:\WINDOWS\system32\WinNt32(7).dll
C:\WINDOWS\system32\WinNt32(8).dll
C:\WINDOWS\system32\WinNt32(9).dll
C:\WINDOWS\system32\WinNt32.dll

7. Закрыть все окна кроме Avenger
8. Запустить программу, все сообщения подтвердить
9. ПК перегрузится. После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
10. Откроется окошко с логом. Его сохранить и прикрепить к сообщению.
11. Повторите логи АВЗ+Хайджека

[Irina786]

скрипт выполнился, комп перезагрузился, никаких сообщений о драйверах не было, открылось окно с текстом. Но когда я щелкнула по окну мышкой текст в окне пропал и я не смогла его сохранить
Начали открыватся сайты про которых IE6 раньше писал - не найден или ошибка DNS спасибо спасибо спасибо!!!

[Rene-gad]

Но когда я щелкнула по окну мышкой текст в окне пропал и я не смогла его сохранить

Это жаль. Там могла быть очень ценная инфа. А может оно лежит папке, куда Вы 123.pif распаковали?

В логах ничего подозрительного.
Поставьте Сервис Пак 3, возможно потребуется активация системы.
Поставьте Интернет Эксплорер 7 - будете Вы им пользоваться или нет.
Почитайте тут: http://security-advisory.virusinfo.info/

[Irina786]

Все таки нашелся лог от avenger. Он сохранился не в папке с программой а в корне С. прилагаю

еще раз спасибо за книжку!
Теперь если что - сразу к вам

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 45
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\djd03.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.50037)
  2. c:\\windows\\system32\\drivers\\sgo60.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.18
  3. c:\\windows\\system32\\drivers\\sjt68.sys - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.NtRootKit.1051)
  4. c:\\windows\\system32\\windata.cab - Trojan-Downloader.Win32.Agent.nsl (DrWEB: Trojan.DownLoader.59496)
  5. c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  6. c:\\windows\\system32\\winnt32(10).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  7. c:\\windows\\system32\\winnt32(11).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  8. c:\\windows\\system32\\winnt32(12).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  9. c:\\windows\\system32\\winnt32(13).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  10. c:\\windows\\system32\\winnt32(14).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  11. c:\\windows\\system32\\winnt32(15).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  12. c:\\windows\\system32\\winnt32(16).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  13. c:\\windows\\system32\\winnt32(17).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  14. c:\\windows\\system32\\winnt32(1.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  15. c:\\windows\\system32\\winnt32(19).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  16. c:\\windows\\system32\\winnt32(2).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  17. c:\\windows\\system32\\winnt32(20).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  18. c:\\windows\\system32\\winnt32(21).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  19. c:\\windows\\system32\\winnt32(22).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  20. c:\\windows\\system32\\winnt32(23).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  21. c:\\windows\\system32\\winnt32(24).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  22. c:\\windows\\system32\\winnt32(25).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  23. c:\\windows\\system32\\winnt32(26).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  24. c:\\windows\\system32\\winnt32(27).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  25. c:\\windows\\system32\\winnt32(2.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  26. c:\\windows\\system32\\winnt32(29).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  27. c:\\windows\\system32\\winnt32(3).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  28. c:\\windows\\system32\\winnt32(30).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  29. c:\\windows\\system32\\winnt32(31).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  30. c:\\windows\\system32\\winnt32(32).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  31. c:\\windows\\system32\\winnt32(33).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  32. c:\\windows\\system32\\winnt32(34).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  33. c:\\windows\\system32\\winnt32(35).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  34. c:\\windows\\system32\\winnt32(36).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  35. c:\\windows\\system32\\winnt32(37).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  36. c:\\windows\\system32\\winnt32(4).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  37. c:\\windows\\system32\\winnt32(40).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  38. c:\\windows\\system32\\winnt32(5).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  39. c:\\windows\\system32\\winnt32(6).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  40. c:\\windows\\system32\\winnt32(7).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  41. c:\\windows\\system32\\winnt32(.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  42. c:\\windows\\system32\\winnt32(9).dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  43. \\jgi - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.207)