95 Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 winpatrul нежданно начал орать что в автозагрузку ломится некое ntos.exe вроде ниче не устанавливал, перечитал все темы что по данному вирусу тут написаны постоянно нажимаю "не добавлять в автозагрузку" после перезагрузки компа оно мне закимто х*** опять опять впаривает это сообщение, снова нажимаю "нет" как избавляться? Все реестровые ключи восстанавливаются, файлов audio/video.dll пока не наблюдал Файла ntos.exe в system32 не находится (скрытые файлы показываются) в компьютерах я полное ламО, как выдрать эту шняжень? Ссылка на комментарий Поделиться на другие сайты Поделиться
juve Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 Почитайте тут. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 - Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим. - Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки. - Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer. - Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. - Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". - Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог. - Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 Почитайте тут. в той теме фраз "спасибо!, вылечено, исцелено, успешно, ура, пофиксено, наонецто" не найдено avz: не рабочая беспомощная устаревшая программа cureit: не рабочая беспомощная устаревшая программа толк темы: не найден RemoveIT Pro v4 - SE (это от друзей в помощь, тоесть не с этого форума программа) - найдена и неизлечима папка wsnpoem с файлами video/audio.dll Вопросы который в силе: 1. как всётаки найти эти файлы визуально и как их убрать? галочка "показывать системные файлы" есть, галочка "скрывать защищенные системные файлы" убрана 2. как найти вирусный родителя-файла который в ответе за постоянное восстановление вируса ntos.exe? как найти родителя родителя (если есть)? 3. как и где выцепить и остановить system restore и прекратить автовосстановление системного реестра и файлов? извиняюсь что незаметил сообщения от Pili пробую .................................................................................................................. Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 ================================================================================== добавлено 12-1-08 18:44 ================================================================================== Логи приложил Проблема естессно осталась и вопрос: какие строки и откуда (реестр, бут.ини и прочее прочее) нужно удалить из DOS'a (понесу диск другу, у которого win98, вгрузим DOS) чтобы предотвратить этот весь хлам и потом просто обновить уже на моем компе winXP? отключение system restore не спасает ниотчего, вшивый реестр снова заполняется в двух разделах где автозагрузка и где параметры файла winlogon :rolleyes: фффак :bye1: фффак :doh: фффак ================================================================================ добавлено ================================================================================ да и еще : Что за файл появляется в автозагрузке при safe mode? _start.exe И почему файл boot.ini написан как какойто пранкер: BoOT.INi и сождержит всего ничего: [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect я лох в этом Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 95: где логи? Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 вот, чет я забыл надавить "добавить файл" vse3.rar vse3.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 95: - Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 ======================================================== **** >>>>>>>>>> все3.рар (все три файла) приложены в #7 <<<<<<<<<<<<< **** ======================================================== **** и вопрос: какие строки и откуда (реестр, бут.ини и прочее прочее) нужно удалить из DOS'a (понесу диск другу, у которого win98, вгрузим DOS) чтобы предотвратить этот весь хлам и потом просто обновить уже на моем компе winXP? отключение system restore не спасает ниотчего, вшивый реестр снова заполняется в двух разделах где автозагрузка и где параметры файла winlogon Что за файл появляется в автозагрузке при safe mode? _start.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 95: 3-ий раз повторяю - Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip В файле vse3.rar, нет файлов virusinfo_syscure.zip, virusinfo_syscheck.zip Файлы virusinfo_syscure.zip, virusinfo_syscheck.zip формируются сами при выполнении в AVZ стандартных скриптов 3 и 2 Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 сорри, 2 недостающих файла: virusinfo_cure.zip virusinfo_syscheck.zip virusinfo_cure.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 95: внимательнее в именами файлов, нужен не virusinfo_cure.zip, а virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 и чё за день сегодня .. :nerd: virusinfo_cure.zip virusinfo_cure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 95: мда... :nerd: файл снова не тот, внимательнее в именами файлов, нужен не virusinfo_cure.zip, а virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 вот так лучше на работе достали прост :nerd: , метаюс LOG.rar LOG.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 Временно отключить антивирусы (и winpatrol) В HiJackThis пофиксить R3 - Default URLSearchHook is missingF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, В AVZ выполнить скрипт beginSetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE',''); QuarantineFile('C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE',''); QuarantineFile('C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE',''); QuarantineFile('C:\Sav\ALight\ALight.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него сюда или в ПМ Выполните скрипт varX : integer; begin X := ExecuteWizard('TSW', 1, 1, true); AddToLog('Количество найденных проблем = '+inttostr(X)); end. Иливместо выполнения этого скрипта запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы. Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 В HiJackThis F2 появляется каж раз поновой ...! эт нормально? Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 >> Заблокирована возможность завершения сеанса >>> Заблокирована возможность завершения сеанса - исправлено >> Заблокирована закладка Заставка в окне свойств экрана >>> Заблокирована закладка Заставка в окне свойств экрана - исправлено >> Заблокирована закладка Параметры в окне свойств экрана >>> Заблокирована закладка Параметры в окне свойств экрана - исправлено >> Заблокирована закладка Оформление в окне свойств экрана >>> Заблокирована закладка Оформление в окне свойств экрана - исправлено >> Меню Пуск - заблокированы элементы >>> Меню Пуск - заблокированы элементы - исправлено ааААА!!!! За Что????????!!! терь все заново настраивать = )))))))) но приму месть за флуд на форуме ладно .......................... :nerd: а карантин по адресу: http://slil.ru/25348837 а лог по адресу: http://slil.ru/25348842 winpatrul умолк таки .. ключи с содержанием ntos.exe в реестре пропали, проверил ровно 5 раз прогнал removeIT'ом еще раз, нашелся infected with Sys32.video (..........system32\wsnpoem\video.dll) вот так .. system32\wsnpoem\video.dll всетаки удалось дочистить с помощью ремува проскакался по реестру .. ntos пропал всё я исцелен чтоли? ура Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 95: Вы просто выложили те же логи, что и в первый раз?? Что-то время запуска АВЗ совпадает. Если да то выполните логи АВЗ ещё раз и выложите новые логи. Кроме того добавьте в архив лог HJT. Спасибо за понимание. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 TINTSETP.EXE IMJPMIG.EXE в карантин не попали, поищите их через AVZ-поиск файлов и добавьте в карантин, карантин выложите так же. ntos похоже свежий Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 http://slil.ru/25349735 Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 95: опять немного не то Вы выложили уже имеющийся карантин(там те файлы, которые были и в первый раз), а Pili просил Вас поискать файлы при помощи АВЗ. в АВЗ выбрать Сервис потом Поиск файлов на диске. Вот так поищите файлы, которые Вас просили заархивируйте их с паролем virus, ну а дальше вы в курсе. Спасибо за понимание. Ссылка на комментарий Поделиться на другие сайты Поделиться
95 Опубликовано 12 января, 2008 Автор Жалоба Поделиться Опубликовано 12 января, 2008 Дескрипшн для этой шняжни совпадает с тем о чем я думаю .... (случайно обратил внимание) Както раз качнул эту китаёзную игруху (нашел видео на неё) щас оно удалено http://www.youtube.com/watch?v=hIXRgppi04M...feature=related (советую посмотреть кста, ржака = )) ) Файл был экзешным, запустился и потух сразу вызвав кучу подозрений :nerd: и тишина Может изза этого tintsetp.exe все, хз, не разбираюсь я, но на всякий: непомню как запрос в гугле назывался, типа "скачать самая сложная игра марио japan" чтоли Оно есть еще гдето на мусорке наподобие trinixy.ru или webpark.ru (скорее первое) ps: значит авз галочки "добавить в карантин" в поиске не контачит зачемто .. хм pps: Спасибо за помощь :nerd: files.rar files.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 12 января, 2008 Жалоба Поделиться Опубликовано 12 января, 2008 просто АВЗ может их распознавать как безопасные по своим базам, поэтому в карантин и не добавляет скриптом. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 13 января, 2008 Жалоба Поделиться Опубликовано 13 января, 2008 ALight.exe_ Вредоносный код в файле не обнаружен.ntos.exe_ - Trojan-Spy.Win32.Zbot.ne Детектирование файла будет добавлено в следующее обновление. Сделайте новые логи, так же по правилам. просто АВЗ может их распознавать как безопасные по своим базам, поэтому в карантин и не добавляет скриптом. Да, скорее всего безопасные, но карантин с использованием BC разве не д.б. добавить в карантин? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти