Показано с 1 по 19 из 19.

ntos.exe + пара проблем (заявка № 12624)

  1. #1
    Junior Member Репутация
    Регистрация
    05.08.2007
    Сообщений
    24
    Вес репутации
    38

    Thumbs up ntos.exe + пара проблем

    проблема вот в чем. С сегодняшнего дня практически абсолютно перестал работать комп. Тоесть сам он загружается, но отказывается открывать любые программы\папки. Поэтому все логи пришлось выполнять в безопасном режиме.
    Также cureit нашла инфецированный файл ntos.exe, но при попытке его лечить программа всякий раз зависает напрочь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    пункт 7 не выполнен, и версия авз старaя.
    кстати, если выполнить пункт 2 как указано- легче станет
    Переделать логи.
    P.S.ntos.exe не нужно лечить, его нужно удалить Можно с беткой cure-it , она с вашими руткитами лучше справиться.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Версия AVZ уже 4.27! И обновите базы.
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...), ноВы уже должны знать это:
    Код:
    begin
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_QrFile('C:\WINDOWS\system32\wsnpoem\audio.dll');
     BC_QrFile('C:\WINDOWS\system32\wsnpoem\video.dll');
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    The worst foe lies within the self...

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксить ...
    Код:
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
    O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

  6. #5
    Junior Member Репутация
    Регистрация
    05.08.2007
    Сообщений
    24
    Вес репутации
    38
    из-за проблем с компом не было возможности зайти в инет, не то что обновить базы.. то сообщение я писала с ноута.

    вообщем выполнила скрипты ( комп стал работать, смогла обновить авз и тд), пофиксила, карантин тоже отправила.
    вот новые логи
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ..
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\ntos.exe ');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    05.08.2007
    Сообщений
    24
    Вес репутации
    38
    логи
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    1. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ClientCpl.cpl','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\GAME_UNO1.dll','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\ZIntro.ocx','');
     QuarantineFile('C:\WINDOWS\system32\LVCOMSX.EXE','');
     QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\na.exe','');
     DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\na.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(12);
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12624
    2.скачать ccleaner, установить и почистить им основательно: http://soft.softodrom.ru/ap/p5628.shtml Перед установкой убрать галку с установки тулбара.
    3.Сделайте новые логи после лечения и присоедините к следующему сообщению .

  10. #9
    Junior Member Репутация
    Регистрация
    05.08.2007
    Сообщений
    24
    Вес репутации
    38
    всё сделала
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    C:\Documents and Settings\User\Local Settings\Temp\na.exe Trojan.Win32.Agent.bcn
    по вирустотал ...
    C:\WINDOWS\system32\ClientCpl.cpl - чистый ...
    C:\WINDOWS\Downloaded Program Files\GAME_UNO1.dll -чистый ...
    C:\WINDOWS\Downloaded Program Files\ZIntro.ocx - чистый ..
    C:\WINDOWS\system32\LVCOMSX.EXE Trojan.Patchep!inf (Symantec)
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\LVCOMSX.EXE');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи...

  12. #11
    Junior Member Репутация
    Регистрация
    05.08.2007
    Сообщений
    24
    Вес репутации
    38
    вот
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ничего зловредного в логах ... какие проблемы остались ?

  14. #13
    Junior Member Репутация
    Регистрация
    05.08.2007
    Сообщений
    24
    Вес репутации
    38
    никаких, спасибо большое

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    из этого что используете ?
    Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> разрешена потенциально опасная служба TermService (Службы терминалов)
    >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> разрешена потенциально опасная служба Schedule ()
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  16. #15
    Junior Member Репутация
    Регистрация
    05.08.2007
    Сообщений
    24
    Вес репутации
    38
    мм.. ну разве что это:
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

    что означает остальное я себе очень слабо представляю

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    тогда скрипт ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);    
    RebootWindows(true);
    end.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
    Мы будем Вам очень благодарны!

  19. #18
    Junior Member Репутация
    Регистрация
    05.08.2007
    Сообщений
    24
    Вес репутации
    38
    скрипт выполнила, файл вроде бы загрузила..

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\user\\local settings\\temp\\na.exe - Trojan.Win32.Agent.bcn (DrWEB: BackDoor.Bifrost.779)
      2. c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.321)


  • Уважаемый(ая) monami, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 24.03.2010, 13:34
    2. Пара компьютеров...номер 2
      От 17_sqrt_2 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.09.2009, 13:40
    3. Пара компьютеров...номер 1
      От 17_sqrt_2 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 03.09.2009, 10:46
    4. Warning! Spyware detected и еще пара проблем
      От Radtt в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 07:30
    5. Пара зверков
      От glit в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00348 seconds with 17 queries