ломится ntos.exe

[95]

winpatrul нежданно начал орать что в автозагрузку ломится некое ntos.exe

вроде ниче не устанавливал, перечитал все темы что по данному вирусу тут написаны

постоянно нажимаю "не добавлять в автозагрузку"

после перезагрузки компа оно мне закимто х*** опять опять впаривает это сообщение, снова нажимаю "нет"

как избавляться?

Все реестровые ключи восстанавливаются, файлов audio/video.dll пока не наблюдал

Файла ntos.exe в system32 не находится (скрытые файлы показываются)

в компьютерах я полное ламО, как выдрать эту шняжень?

[juve]

Почитайте тут.

[Pili]

- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

[95]

Почитайте тут.

в той теме фраз "спасибо!, вылечено, исцелено, успешно, ура, пофиксено, наонецто" не найдено

avz: не рабочая беспомощная устаревшая программа

cureit: не рабочая беспомощная устаревшая программа

толк темы: не найден

RemoveIT Pro v4 - SE (это от друзей в помощь, тоесть не с этого форума программа) - найдена и неизлечима папка wsnpoem с файлами video/audio.dll

Вопросы который в силе:

1. как всётаки найти эти файлы визуально и как их убрать? галочка "показывать системные файлы" есть, галочка "скрывать защищенные системные файлы" убрана

2. как найти вирусный родителя-файла который в ответе за постоянное восстановление вируса ntos.exe? как найти родителя родителя (если есть)?

3. как и где выцепить и остановить system restore и прекратить автовосстановление системного реестра и файлов?

извиняюсь что незаметил сообщения от Pili

пробую ..................................................................................................................

[95]

==================================================================================

добавлено 12-1-08 18:44

==================================================================================

Логи приложил

Проблема естессно осталась

и вопрос: какие строки и откуда (реестр, бут.ини и прочее прочее) нужно удалить из DOS'a (понесу диск другу, у которого win98, вгрузим DOS) чтобы предотвратить этот весь хлам и потом просто обновить уже на моем компе winXP?

отключение system restore не спасает ниотчего, вшивый реестр снова заполняется в двух разделах где автозагрузка и где параметры файла winlogon

:rolleyes: фффак :bye1: фффак :doh: фффак

================================================================================

добавлено

================================================================================

да и еще :

Что за файл появляется в автозагрузке при safe mode? _start.exe

И почему файл boot.ini написан как какойто пранкер: BoOT.INi

и сождержит всего ничего:

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

я лох в этом

[Pili]

95: где логи?

[95]

вот, чет я забыл надавить "добавить файл"

vse3.rar

vse3.rar

[Pili]

95:

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

[95]

======================================================== ****

>>>>>>>>>> все3.рар (все три файла) приложены в #7 <<<<<<<<<<<<< ****

======================================================== ****

и вопрос: какие строки и откуда (реестр, бут.ини и прочее прочее) нужно удалить из DOS'a (понесу диск другу, у которого win98, вгрузим DOS) чтобы предотвратить этот весь хлам и потом просто обновить уже на моем компе winXP?

отключение system restore не спасает ниотчего, вшивый реестр снова заполняется в двух разделах где автозагрузка и где параметры файла winlogon

Что за файл появляется в автозагрузке при safe mode? _start.exe

[Pili]

95: 3-ий раз повторяю

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

В файле vse3.rar, нет файлов virusinfo_syscure.zip, virusinfo_syscheck.zip

Файлы virusinfo_syscure.zip, virusinfo_syscheck.zip формируются сами при выполнении в AVZ стандартных скриптов 3 и 2

[95]

сорри, 2 недостающих файла:

virusinfo_cure.zip

virusinfo_syscheck.zip

virusinfo_cure.zip

virusinfo_syscheck.zip

[Pili]

95: внимательнее в именами файлов, нужен не virusinfo_cure.zip, а virusinfo_syscure.zip

[95]

и чё за день сегодня .. :nerd:

virusinfo_cure.zip

virusinfo_cure.zip

[Pili]

95: мда... :nerd:

файл снова не тот,

внимательнее в именами файлов, нужен не virusinfo_cure.zip, а virusinfo_syscure.zip

[95]

вот так лучше

на работе достали прост :nerd: , метаюс

LOG.rar

LOG.rar

[Pili]

Временно отключить антивирусы (и winpatrol)

В HiJackThis пофиксить

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

В AVZ выполнить скрипт

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE','');

QuarantineFile('C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE','');

QuarantineFile('C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE','');

QuarantineFile('C:\Sav\ALight\ALight.exe','');

QuarantineFile('C:\WINDOWS\system32\ntos.exe','');

DeleteFile('C:\WINDOWS\system32\ntos.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него сюда или в ПМ

Выполните скрипт

var

X : integer;

begin

X := ExecuteWizard('TSW', 1, 1, true);

AddToLog('Количество найденных проблем = '+inttostr(X));

end.

Иливместо выполнения этого скрипта запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы.

Повторите логи.

[95]

В HiJackThis F2 появляется каж раз поновой ...! эт нормально?

[95]

>> Заблокирована возможность завершения сеанса

>>> Заблокирована возможность завершения сеанса - исправлено

>> Заблокирована закладка Заставка в окне свойств экрана

>>> Заблокирована закладка Заставка в окне свойств экрана - исправлено

>> Заблокирована закладка Параметры в окне свойств экрана

>>> Заблокирована закладка Параметры в окне свойств экрана - исправлено

>> Заблокирована закладка Оформление в окне свойств экрана

>>> Заблокирована закладка Оформление в окне свойств экрана - исправлено

>> Меню Пуск - заблокированы элементы

>>> Меню Пуск - заблокированы элементы - исправлено

ааААА!!!! За Что????????!!! терь все заново настраивать = )))))))) но приму месть за флуд на форуме ладно .......................... :nerd:

а карантин по адресу:

http://slil.ru/25348837

а лог по адресу:

http://slil.ru/25348842

winpatrul умолк таки ..

ключи с содержанием ntos.exe в реестре пропали, проверил ровно 5 раз

прогнал removeIT'ом еще раз, нашелся infected with Sys32.video (..........system32\wsnpoem\video.dll)

вот так ..

system32\wsnpoem\video.dll всетаки удалось дочистить с помощью ремува

проскакался по реестру .. ntos пропал

всё я исцелен чтоли? ура

[ТроПа]

95: Вы просто выложили те же логи, что и в первый раз?? Что-то время запуска АВЗ совпадает. Если да то выполните логи АВЗ ещё раз и выложите новые логи. Кроме того добавьте в архив лог HJT.

Спасибо за понимание.

[Pili]

TINTSETP.EXE

IMJPMIG.EXE в карантин не попали, поищите их через AVZ-поиск файлов и добавьте в карантин, карантин выложите так же.

ntos похоже свежий

[95]

http://slil.ru/25349735

[ТроПа]

95: опять немного не то Вы выложили уже имеющийся карантин(там те файлы, которые были и в первый раз), а Pili просил Вас поискать файлы при помощи АВЗ. в АВЗ выбрать Сервис потом Поиск файлов на диске. Вот так поищите файлы, которые Вас просили заархивируйте их с паролем virus, ну а дальше вы в курсе.

Спасибо за понимание.

[95]

Дескрипшн для этой шняжни совпадает с тем о чем я думаю .... (случайно обратил внимание)

Както раз качнул эту китаёзную игруху (нашел видео на неё) щас оно удалено

http://www.youtube.com/watch?v=hIXRgppi04M...feature=related (советую посмотреть кста, ржака = )) )

Файл был экзешным, запустился и потух сразу вызвав кучу подозрений :nerd: и тишина

Может изза этого tintsetp.exe все, хз, не разбираюсь я, но на всякий:

непомню как запрос в гугле назывался, типа "скачать самая сложная игра марио japan" чтоли

Оно есть еще гдето на мусорке наподобие trinixy.ru или webpark.ru (скорее первое)

ps: значит авз галочки "добавить в карантин" в поиске не контачит зачемто .. хм

pps: Спасибо за помощь :nerd:

files.rar

files.rar

[ТроПа]

просто АВЗ может их распознавать как безопасные по своим базам, поэтому в карантин и не добавляет скриптом.

[Pili]

ALight.exe_ Вредоносный код в файле не обнаружен.

ntos.exe_ - Trojan-Spy.Win32.Zbot.ne Детектирование файла будет добавлено в следующее обновление.

Сделайте новые логи, так же по правилам.

просто АВЗ может их распознавать как безопасные по своим базам, поэтому в карантин и не добавляет скриптом.

Да, скорее всего безопасные, но карантин с использованием BC разве не д.б. добавить в карантин?