Показано с 1 по 12 из 12.

ntos.exe - просто достал... (заявка № 27343)

  1. #1
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59

    Exclamation ntos.exe - просто достал...

    опять на одном из компов эта дрянь. "кликнули по ссылке"...
    лечил, лечил. вроде пролечил. через 2 дня опять вылез.

    симптомы - AVZ и AVP Tool ничего не находят, только исправляют "функции Kist" в кол-ве 26 штук. самого ntos.exe на машине нет.

    периодически при открытии exe файлов и других исполняемых - вылазит ошибка. если не закрывая ошибку запустить файл ещё раз - программа запускается.

    после лечения проявлятся это стало оч. редко. даже не могу сказать точно когда.
    + после загрузки не выводится рабочий стол. т.е. нужно запустить диспетчер задач, снять explorer.exe и запустить его вручную - после этого рабочий стол появляется и всё работает.

    в winlogon секции реестра - автодобавляется ntos.exe, - кто добавляет вычислить не могу. все "системные" файлы и сервисы переподсунул уже с чистой винды. AVZ и AVP tool никаких файлов не находят, ice sword тоже ничего подозрительного не показывает... эта гадость уже просто умотала

    логи прилагаю, поможииитеее...
    спасибо заранее
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте новую версию Hijackthis по ссылке в правилах.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ethwglre');
     DeleteService('msthreat');
     QuarantineFile('C:\WINDOWS\system32\drivers\ethwglre.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\msthreat.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\msthreat.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ethwglre.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59
    сделано
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Почему Антивирус не отключили? И 3-й лог уже второй раз зажилили?

  6. #5
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59
    антивирус только удалять (стоит корпоративный symantec), настройка общая для всех клиентов.
    + т.к. делается почти всё удалённо (через netop) то к сожалению не всё возможно сделать сразу ))

    завтра доберусь до машины вплотную так сказать и выложу все логи. прошу прощения за неполное исполнение правил.

    (машина вроде как ожила, ошибок с exe вроде не видно, грузится нормально, ntos.exe более не добавляется в секцию winlogon, но надо дожать конечно на всяк. случай).

  7. #6
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59
    готово ) провёл проверку без антивиря, все логи прилагаю
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ничего подозрительного ....

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Gre4ka Посмотреть сообщение
    антивирус только удалять (стоит корпоративный symantec), настройка общая для всех клиентов.
    + т.к. делается почти всё удалённо (через netop) то к сожалению не всё возможно сделать сразу ))
    Запросто можно: Заходите в Службы и останавливаете все службы Антивируса. Сам был в такой ситуации и тоже такой трюк делал (чтобы с сисадмином не вступать каждый раз в пререкания)

  10. #9
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59
    а ну если остановка всех его служб поможет то гуд ) хотя там установлена в настройках защита служб его (процессы снять не даёт).

    кстати чем он может мешать при проверке и т.д.?

    за помощь спасибо )) машина эта просто достала за неделю )) всё чисто

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Gre4ka Посмотреть сообщение
    кстати чем он может мешать при проверке и т.д.?
    Антималварные программы зачастую видят друг в друге зловреда. Когда мы пишем SetAVZGuardStatus(True), мы включаем монитор АВЗ. Если параллельно работает еще какой-нибудь защитный механизм, то они начинают воевать друг с дружкой, а зловреды при этом потирают руки...

  12. #11
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59
    понял, спасибо (зловреды правда нынче такие, что антивири в 90% "спят")

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.dol (DrWEB: Trojan.Packed.511)


  • Уважаемый(ая) Gre4ka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите b.exe достал просто
      От opolovets в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.07.2009, 19:53
    2. Достал BN2.TMP
      От altab в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:00
    3. Просто достал-Trojan-Downloader.Win32.Agent.bga
      От timur_kotamov в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:35
    4. Достал это ntos!!! Нужен Help!
      От viendo в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 08.02.2009, 22:01
    5. IE бар уже достал( ((
      От script88 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.10.2008, 14:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00248 seconds with 20 queries