ntos.exe

**44779** · 15.04.2008, 17:06

Здраствуйте!
Не загружаеться обычный режим винды, сделал логи из безопасного.
PS.
Отключить восстановление системы не удалось...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 15.04.2008, 17:18

Ну и зоопарк

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Sxd62.sys\0000', 'CSConfigFlags', '1');
QuarantineFile('C:\WINDOWS\Temp\iframestat.exe','');QuarantineFile('C:\WINDOWS\system32\hkco526.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Jpc40.sys','');
QuarantineFile('C:\Program Files\tmp-1460014209.exe','');
QuarantineFile('msindc.dll','');
QuarantineFile('c:\autoex.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qnj38.sys ',' ');
QuarantineFile('C:\WINDOWS\system32\luapvs.dll','');
QuarantineFile('xlibgfl254.dll','');
QuarantineFile('hgGwUnOf.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\qnmrapcn.exe','');
QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
QuarantineFile('C:\WINDOWS\System32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\maxpaynow1.exe','');
QuarantineFile('C:\WINDOWS\System32\iyhljxir.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\ctghifub\yropcvar.exe','');
QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34C.tmp srv','');
QuarantineFile('C:\Documents and Settings\я\ie_updates3r.exe','');
QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\1893095943.exe','');
QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34B.tmp srv','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd62.sys','');
QuarantineFile('Qnj38.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\ssqNFYPG.dll','');
QuarantineFile('C:\WINDOWS\System32\hgGwUnOf.dll','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
DeleteService('Sxd62');
DeleteService('Schedule');
DeleteService('GoogleCryptSvc');
DeleteService('Google Online Services');
DeleteService('FastUserSwitchingCompatibilityWmiApSrv');
DeleteService('FastUserSwitchingCompatibilityThemes');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\hgGwUnOf.dll');
DeleteFile('C:\WINDOWS\System32\ssqNFYPG.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('Qnj38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxd62.sys');
DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34B.tmp srv');
DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\1893095943.exe');
DeleteFile('C:\Documents and Settings\я\ie_updates3r.exe');
DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34C.tmp srv');
DeleteFile('C:\WINDOWS\System32\Drivers\Qnj38.sys ');
DeleteFile('C:\Documents and Settings\All Users\Application Data\ctghifub\yropcvar.exe');
DeleteFile('C:\Documents and Settings\Администратор\cftmon.exe');
DeleteFile('C:\WINDOWS\System32\iyhljxir.dll');
DeleteFile('C:\WINDOWS\System32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\wind32.exe');
DeleteFile('C:\WINDOWS\System32\wowfx.dll');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
DeleteFile('C:\WINDOWS\system32\qnmrapcn.exe');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('hgGwUnOf.dll');
DeleteFile('xlibgfl254.dll');
DeleteFile('C:\WINDOWS\system32\luapvs.dll');
DeleteFile('c:\autoex.dll');
DeleteFile('C:\Program Files\tmp-1460014209.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Jpc40.sys');
DeleteFile('C:\WINDOWS\system32\hkco526.exe');
DeleteFile('C:\WINDOWS\Temp\iframestat.exe');
DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
DelBHO('{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}');
DelBHO('{06480563-2EBE-4899-94FE-46FFAAF270B5}');
DelBHO('{EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
ExecuteRepair(6 );
ExecuteRepair(17 );
ExecuteRepair(11 );
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21555

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.

**44779** · 15.04.2008, 17:58

После перезагрузки проснулся спайдер и удалил пару вирусов, но експлорер не загрузился... Пришлось через диспетчер задач загрузить. Карантин выслал. Вот новые логи.
Файл сохранён как 080415_085928_virus_4804b4c09325a.zip
Размер файла 1344065
MD5 4978de1784a4656ed6e7e6b5c6de3aaa

**Bratez** · 15.04.2008, 18:10

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: (no name) - {B38A8D6B-2AB0-4502-AEA6-67AA03C4A102} - C:\WINDOWS\System32\ssqNFYPG.dll (file missing)
O2 - BHO: (no name) - {EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9} - C:\WINDOWS\System32\hgGwUnOf.dll (file missing)
O2 - BHO: Min stor proj. - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing)
O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\System32\alt.exe.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\я\cftmon.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\я\cftmon.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe
O4 - HKCU\..\Run: [kavir] C:\WINDOWS\kavir.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\System32\spoolvs.exe
O4 - HKCU\..\Run: [rxyswntr] C:\WINDOWS\system32\gnejklml.exe
O20 - Winlogon Notify: hgGwUnOf - hgGwUnOf.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O21 - SSODL: ChkMon - {04ec143d-5248-462d-abb6-a831e6905809} - C:\WINDOWS\Installer\{04ec143d-5248-462d-abb6-a831e6905809}\ChkMon.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\System32\iSecurity.cpl','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd62.sys','');
 QuarantineFile('C:\WINDOWS\taskmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\gnejklml.exe','');
 DeleteFile('C:\WINDOWS\system32\gnejklml.exe');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Sxd62.sys');
 DeleteFile('C:\Documents and Settings\я\cftmon.exe');
 DeleteFile('C:\WINDOWS\System32\alt.exe.exe');
 DeleteFile('C:\WINDOWS\System32\hgGwUnOf.dll');
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Qnj38');
BC_DeleteSvc('asc3550p');
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Сделайте новые логи, начиная с п.10 правил.

**Гриша** · 15.04.2008, 18:22

Карантин:

iframestat.exe-Email-Worm.Win32.Zhelatin.wu

hkco526.exe-Trojan-Downloader.Win32.Mutant.jz

Jpc40.sys-Rootkit.Win32.Agent.aih

tmp-1460014209.exe-Trojan-Downloader.Win32.Small.ivo

msindc.dll-Trojan-Downloader.Win32.BHO.ev

autoex.dll-not-a-virus:AdWare.Win32.BHO.ajq

Qnj38.sys-Rootkit.Win32.Agent.aag

hgGwUnOf.dll-свежий

WLCtrl32.dll-Trojan-Downloader.Win32.Mutant.hx

sysmgr.exe-свежий

qnmrapcn.exe-свежий

mrofinu27.exe-Trojan-Downloader.Win32.Homles.bf

wowfx.dll-Trojan.Win32.Qhost.abh

ntos.exe-Trojan-Spy.Win32.Zbot.axs

maxpaynow1.exe-Trojan-Downloader.Win32.Tibs.yo

iyhljxir.dll-not-a-virus:AdWare.Win32.Virtumonde.nvf

cftmon.exe-Trojan-Downloader.Win32.Small.trp

yropcvar.exe-свежий

ssqNFYPG.dll-свежий

spools.exe-Trojan-Downloader.Win32.Small.trp

Веселая семейка

**Bratez** · 15.04.2008, 18:24

И неудивительно:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

**44779** · 15.04.2008, 18:41

спасибо
надо ехать...
до завтра

**44779** · 16.04.2008, 11:49

Привет, это сного я)
тут у меня есть два карантина: 15.04.08 и 16.04.08.
какой лучьше отправить?

**Bratez** · 16.04.2008, 12:01

Оба давайте. Логи сейчас гляну.

Добавлено через 6 минут

1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\Drivers\Sxd62.sys
и сделайте им Force Delete.

3. Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

4. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Sxd62.sys');
 DeleteFile('C:\WINDOWS\system32\hkco463.exe');
 DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Sxd62');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.

Сделайте новый лог syscheck (п.10 правил).

**44779** · 16.04.2008, 13:32

а вот и лог

**Bratez** · 16.04.2008, 13:43

Отлично! Главного врага победили, осталось совсем чуть-чуть

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\taskmon.exe');
 DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll');
 DeleteFile('C:\WINDOWS\System32\iSecurity.cpl');
 DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и сделайте еще раз логи, начиная с п.10 правил (надеюсь, последний).

**44779** · 16.04.2008, 14:59

вот

**Bratez** · 16.04.2008, 15:16

Все нормально, осталось только пофиксить в HijackThis:

Код:

O2 - BHO: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\System32\ISECUR~1.CPL (file missing)
O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor
O20 - AppInit_DLLs: iSecurity.cpl
O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\System32\ISECUR~1.CPL (file missing)

Рекомендуется отключить все что вам не нужно из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

И как можно скорее установить сервис-паки, иначе будете постоянным клиентом

**44779** · 16.04.2008, 15:26

Всем ОГРОМНЫЙ РЕСПЕКТ!!!

но мне тут еще один комп принесли

**Гриша** · 16.04.2008, 15:42

Откройте новую тему.

**44779** · 16.04.2008, 16:04

ок

И ТЕБЕ БОЛЬШОЕ СПАСИБО!!!

пока SP2 поставлю на этот тазик, а потом уже за другой буду браться...

ntos.exe (заявка № 21555)

Опции темы

ntos.exe

Похожие темы

ntos.exe

ntos.exe

ntos

ntos

Ntos.exe

Ваши права в разделе