Показано с 1 по 16 из 16.

ntos.exe (заявка № 21555)

  1. #1
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    59

    Thumbs up ntos.exe

    Здраствуйте!
    Не загружаеться обычный режим винды, сделал логи из безопасного.
    PS.
    Отключить восстановление системы не удалось...
    Последний раз редактировалось 44779; 26.05.2008 в 17:48.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Ну и зоопарк

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Sxd62.sys\0000', 'CSConfigFlags', '1');
    QuarantineFile('C:\WINDOWS\Temp\iframestat.exe','');QuarantineFile('C:\WINDOWS\system32\hkco526.exe','');
    QuarantineFile('C:\WINDOWS\system32\drivers\Jpc40.sys','');
    QuarantineFile('C:\Program Files\tmp-1460014209.exe','');
    QuarantineFile('msindc.dll','');
    QuarantineFile('c:\autoex.dll','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Qnj38.sys ',' ');
    QuarantineFile('C:\WINDOWS\system32\luapvs.dll','');
    QuarantineFile('xlibgfl254.dll','');
    QuarantineFile('hgGwUnOf.dll','');
    QuarantineFile('WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
    QuarantineFile('C:\WINDOWS\system32\qnmrapcn.exe','');
    QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
    QuarantineFile('C:\WINDOWS\System32\wowfx.dll','');
    QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
    QuarantineFile('C:\WINDOWS\System32\maxpaynow1.exe','');
    QuarantineFile('C:\WINDOWS\System32\iyhljxir.dll','');
    QuarantineFile('C:\Documents and Settings\Администратор\cftmon.exe','');
    QuarantineFile('C:\Documents and Settings\All Users\Application Data\ctghifub\yropcvar.exe','');
    QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34C.tmp srv','');
    QuarantineFile('C:\Documents and Settings\я\ie_updates3r.exe','');
    QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\1893095943.exe','');
    QuarantineFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34B.tmp srv','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd62.sys','');
    QuarantineFile('Qnj38.sys','');
    QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\System32\ssqNFYPG.dll','');
    QuarantineFile('C:\WINDOWS\System32\hgGwUnOf.dll','');
    QuarantineFile('c:\windows\system32\drivers\spools.exe','');
    TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
    DeleteService('Sxd62');
    DeleteService('Schedule');
    DeleteService('GoogleCryptSvc');
    DeleteService('Google Online Services');
    DeleteService('FastUserSwitchingCompatibilityWmiApSrv');
    DeleteService('FastUserSwitchingCompatibilityThemes');
    DeleteFile('c:\windows\system32\drivers\spools.exe');
    DeleteFile('C:\WINDOWS\System32\hgGwUnOf.dll');
    DeleteFile('C:\WINDOWS\System32\ssqNFYPG.dll');
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('Qnj38.sys');
    DeleteFile('C:\WINDOWS\System32\Drivers\Sxd62.sys');
    DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34B.tmp srv');
    DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\1893095943.exe');
    DeleteFile('C:\Documents and Settings\я\ie_updates3r.exe');
    DeleteFile('C:\DOCUME~1\F440~1\LOCALS~1\Temp\34C.tmp srv');
    DeleteFile('C:\WINDOWS\System32\Drivers\Qnj38.sys ');
    DeleteFile('C:\Documents and Settings\All Users\Application Data\ctghifub\yropcvar.exe');
    DeleteFile('C:\Documents and Settings\Администратор\cftmon.exe');
    DeleteFile('C:\WINDOWS\System32\iyhljxir.dll');
    DeleteFile('C:\WINDOWS\System32\maxpaynow1.exe');
    DeleteFile('C:\WINDOWS\System32\ntos.exe');
    DeleteFile('C:\WINDOWS\System32\wind32.exe');
    DeleteFile('C:\WINDOWS\System32\wowfx.dll');
    DeleteFile('C:\WINDOWS\mrofinu27.exe');
    DeleteFile('C:\WINDOWS\system32\qnmrapcn.exe');
    DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
    DeleteFile('WLCtrl32.dll');
    DeleteFile('hgGwUnOf.dll');
    DeleteFile('xlibgfl254.dll');
    DeleteFile('C:\WINDOWS\system32\luapvs.dll');
    DeleteFile('c:\autoex.dll');
    DeleteFile('C:\Program Files\tmp-1460014209.exe');
    DeleteFile('C:\WINDOWS\system32\drivers\Jpc40.sys');
    DeleteFile('C:\WINDOWS\system32\hkco526.exe');
    DeleteFile('C:\WINDOWS\Temp\iframestat.exe');
    DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
    DelBHO('{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}');
    DelBHO('{06480563-2EBE-4899-94FE-46FFAAF270B5}');
    DelBHO('{EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(1 );
    ExecuteRepair(6 );
    ExecuteRepair(17 );
    ExecuteRepair(11 );
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21555

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".


    Повторите логи.
    Последний раз редактировалось Гриша; 15.04.2008 в 17:27.

  4. #3
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    59
    После перезагрузки проснулся спайдер и удалил пару вирусов, но експлорер не загрузился... Пришлось через диспетчер задач загрузить. Карантин выслал. Вот новые логи.
    Файл сохранён как 080415_085928_virus_4804b4c09325a.zip
    Размер файла 1344065
    MD5 4978de1784a4656ed6e7e6b5c6de3aaa
    Последний раз редактировалось 44779; 26.05.2008 в 17:48.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
    O2 - BHO: (no name) - {B38A8D6B-2AB0-4502-AEA6-67AA03C4A102} - C:\WINDOWS\System32\ssqNFYPG.dll (file missing)
    O2 - BHO: (no name) - {EEC73EA5-1367-49D1-93F4-CA1D8C22E9F9} - C:\WINDOWS\System32\hgGwUnOf.dll (file missing)
    O2 - BHO: Min stor proj. - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing)
    O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\System32\alt.exe.exe
    O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\я\cftmon.exe
    O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\я\cftmon.exe
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe
    O4 - HKCU\..\Run: [kavir] C:\WINDOWS\kavir.exe
    O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\System32\spoolvs.exe
    O4 - HKCU\..\Run: [rxyswntr] C:\WINDOWS\system32\gnejklml.exe
    O20 - Winlogon Notify: hgGwUnOf - hgGwUnOf.dll (file missing)
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    O21 - SSODL: ChkMon - {04ec143d-5248-462d-abb6-a831e6905809} - C:\WINDOWS\Installer\{04ec143d-5248-462d-abb6-a831e6905809}\ChkMon.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\iSecurity.cpl','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd62.sys','');
     QuarantineFile('C:\WINDOWS\taskmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\gnejklml.exe','');
     DeleteFile('C:\WINDOWS\system32\gnejklml.exe');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sxd62.sys');
     DeleteFile('C:\Documents and Settings\я\cftmon.exe');
     DeleteFile('C:\WINDOWS\System32\alt.exe.exe');
     DeleteFile('C:\WINDOWS\System32\hgGwUnOf.dll');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Qnj38');
    BC_DeleteSvc('asc3550p');
    ExecuteSysClean;
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Карантин:

    iframestat.exe-Email-Worm.Win32.Zhelatin.wu

    hkco526.exe-Trojan-Downloader.Win32.Mutant.jz

    Jpc40.sys-Rootkit.Win32.Agent.aih

    tmp-1460014209.exe-Trojan-Downloader.Win32.Small.ivo

    msindc.dll-Trojan-Downloader.Win32.BHO.ev

    autoex.dll-not-a-virus:AdWare.Win32.BHO.ajq

    Qnj38.sys-Rootkit.Win32.Agent.aag

    hgGwUnOf.dll-свежий

    WLCtrl32.dll-Trojan-Downloader.Win32.Mutant.hx

    sysmgr.exe-свежий

    qnmrapcn.exe-свежий

    mrofinu27.exe-Trojan-Downloader.Win32.Homles.bf

    wowfx.dll-Trojan.Win32.Qhost.abh

    ntos.exe-Trojan-Spy.Win32.Zbot.axs

    maxpaynow1.exe-Trojan-Downloader.Win32.Tibs.yo

    iyhljxir.dll-not-a-virus:AdWare.Win32.Virtumonde.nvf

    cftmon.exe-Trojan-Downloader.Win32.Small.trp

    yropcvar.exe-свежий

    ssqNFYPG.dll-свежий

    spools.exe-Trojan-Downloader.Win32.Small.trp

    Веселая семейка

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    И неудивительно:
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    59
    спасибо
    надо ехать...
    до завтра

  9. #8
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    59
    Привет, это сного я)
    тут у меня есть два карантина: 15.04.08 и 16.04.08.
    какой лучьше отправить?
    Последний раз редактировалось 44779; 26.05.2008 в 17:48.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Оба давайте. Логи сейчас гляну.

    Добавлено через 6 минут

    1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

    2. Запустите, слева внизу нажмите File, затем найдите файлы:
    C:\WINDOWS\system32\WLCtrl32.dll
    C:\WINDOWS\system32\Drivers\Sxd62.sys
    и сделайте им Force Delete.

    3. Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    4. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('C:\WINDOWS\system32\Drivers\Sxd62.sys');
     DeleteFile('C:\WINDOWS\system32\hkco463.exe');
     DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Sxd62');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.

    Сделайте новый лог syscheck (п.10 правил).
    Последний раз редактировалось Bratez; 16.04.2008 в 12:01. Причина: Добавлено
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    59
    а вот и лог
    Последний раз редактировалось 44779; 26.05.2008 в 17:48.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Отлично! Главного врага победили, осталось совсем чуть-чуть
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\taskmon.exe');
     DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll');
     DeleteFile('C:\WINDOWS\System32\iSecurity.cpl');
     DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и сделайте еще раз логи, начиная с п.10 правил (надеюсь, последний).
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    59
    вот
    Последний раз редактировалось 44779; 26.05.2008 в 17:48.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Все нормально, осталось только пофиксить в HijackThis:
    Код:
    O2 - BHO: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\System32\ISECUR~1.CPL (file missing)
    O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor
    O20 - AppInit_DLLs: iSecurity.cpl
    O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\System32\ISECUR~1.CPL (file missing)
    Рекомендуется отключить все что вам не нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    И как можно скорее установить сервис-паки, иначе будете постоянным клиентом
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    59
    Всем ОГРОМНЫЙ РЕСПЕКТ!!!

    но мне тут еще один комп принесли

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Откройте новую тему.

  17. #16
    Junior Member Репутация
    Регистрация
    11.04.2008
    Сообщений
    51
    Вес репутации
    59
    ок

    И ТЕБЕ БОЛЬШОЕ СПАСИБО!!!

    пока SP2 поставлю на этот тазик, а потом уже за другой буду браться...

  • Уважаемый(ая) 44779, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. ntos.exe
      От Veselyi_Rodger в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:37
    2. ntos.exe
      От MMB в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:25
    3. ntos
      От micl в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.11.2008, 16:27
    4. ntos
      От Andy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.06.2008, 13:38
    5. Ntos.exe
      От Luka_ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.05.2008, 13:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00700 seconds with 17 queries