Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

_cash

ntos.exe

Рекомендованные сообщения

вопрос к знактокам

ntos.exe троян

прописывается в реестре на автозапуск в userinit.exe

кто лечил эту ** делимся опытом.

 

ps. просто без лишних негативных слов..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скорее всего трой..

какой антивир стоит??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скорее всего трой..

какой антивир стоит??

Да, это троян -Trojan-Spy.Win32.Banker.cmb

Судя по описанию на http://www.viruslist.com/en/viruses/encycl...?virusid=154559 должен быть обнаружен Касперским.

Так что _cash сканьтесь им. Если инета нет, то вот его описания на Английском. Русского описания НЕТ.

 

Technical details


This Trojan program is designed to steal confidential data. It is a Windows PE EXE file, and is 34304 bytes in size. It is packed using a customized packer.

The Trojan copies itself to 
%sysdir%\ntos.exe

with system, read only and archive attributes.

When copying it appends random-sized junk to the end of its file in an attempt to make detection more difficult. It does not modify the PE header. 

It creates the following directory:
%sysdir%\wsnpoem\ (hidden, system attributes)

%sysdir%\wsnpoem\audio.dll - data file 
%sysdir%\wsnpoem\video.dll - config file 

The Trojan adds itself to the following registry keys:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
userinit="%sysdir%\ntos.exe"


[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
userinit="%sysdir%\ntos.exe"

It modifies:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Value "Userinit":

from 
"%sysdir%\userinit.exe,"
to 
"%sysdir%\userinit.exe,%sysdir%\ntos.exe,"

The Trojan injects itself into winlogon.exe and from there on functions as a handle.

It creates the following mutex: 
__SYSTEM__64AD0625__

to flag its presence in the system. Payload


The Trojan contacts 81.95.148.244 to download its config file, check for updates and to transmit harvested data.

It accesses PStore to retrieve passwords.

It also monitors network activity for the following:
*Tan* 
*Schmetterling* 
*berweisung* 
*Amount* 
*tanentry* 
*RESULT2* 
*citibank.de/* 
I2=*&H0=DT 
*banking.*/cgi/ueber*.cgi* 
bankofamerica.com/cgi-bin/ias/*/GotoWelcome 
https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome 
CustomerServiceMenuEntryPoint?custAction=75 

The Trojan captures information submitted via POST by browser to steal login data from sites.

Captured data is transferred via FTP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

касперский к сожалению его не обнаружививает. ни 5й, ни 6й. может быть из за того что обновить комп нет никакой возможности. единственное с помощью шестого заблокировал измение в реестр, теперь он каждую секунду пытается прописаться в userint.exe .

помещение файла в карантин spybot и антивирусов ничего не дали.

проблема не решена

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так нужно обновится как то или читай предыдущий мануал на буржуйском и ручками, ручками..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DJ Mixxx в этом мануале только технические детали. никаких рекомендаций нет

 

"Технические детали

 

 

Эта троянская программа разработана, чтобы украсть конфиденциальные данные. Это - Windows PE EXE файл, и - 34304 байта в размере. Это упаковано, используя настроенного упаковщика.

 

Троянское копирует себя к

%sysdir %\ntos.exe

 

с системой, читайте только и архивируйте признаки.

 

Копируя это прилагает барахло случайно-размера до конца его файла в попытке сделать обнаружение более трудным. Это не изменяет удар головой PE.

 

Это создает следующий справочник:

%sysdir %\wsnpoem\ (скрытый, признаки системы)

 

%sysdir %\wsnpoem\audio.dll - картотека данных

%sysdir %\wsnpoem\video.dll - config файл

 

Троянское добавляет себя к следующим ключам регистрации:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

userinit = "% sysdir %\ntos.exe"

 

 

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]

userinit = "% sysdir %\ntos.exe"

 

Это изменяет:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Ценность "Userinit":

 

от

"%sysdir %\userinit.exe,"

к

"%sysdir %\userinit.exe, %sysdir %\ntos.exe,"

 

Троянское вводит себя в winlogon.exe и оттуда на функциях как ручка.

 

Это создает следующий mutex:

__СИСТЕМА __ 64AD0625 __

 

сигнализировать его присутствие в системе. Полезный груз

 

 

Троянские контакты 81.95.148.244, чтобы загрузить его config файл, проверьте для обновлений и передать собранные данные.

 

Это получает доступ к PStore, чтобы восстановить пароли.

 

Это также контролирует деятельность сети для следующего:

*Tan*

*Schmetterling*

*berweisung*

*Amount*

*tanentry*

*RESULT2*

*citibank.de/*

I2=*&H0=DT

*banking.*/cgi/ueber*.cgi*

bankofamerica.com/cgi-bin/ias/*/GotoWelcome

https://onlineeast.bankofamerica.com/cgi-bi...s/*/GotoWelcome

CustomerServiceMenuEntryPoint?custAction=75

 

Троянская информация захватов подчинялась через ПОСТ браузером, чтобы украсть данные логина от участков.

 

Захваченные данные переданы через ПРОГРАММУ ПЕРЕДАЧИ ФАЙЛОВ."

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

_cash, ой блииииин..... обьясняю для танкистов...

тут написано где, куда и под каким именем он себя копирует и прописывает в реестр какие значения..

идя от противного, можно находить эти файлы/значения и удалять ручками...

 

ах да... и спасибо за *** перевод, на буржуйском и то было понятнее написано(по крайней мере мне)..

 

ps без слов, относящихся к ненормативной лексике.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cкачиваем SDFix.rar, разархивируем SDFix и запускаем (это самораспаковывающийся архив).

В системном каталоге будет создана папка SDFix:

C:\SDFix

Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.

Открываем папку SDFix и запускаем файл RunThis.bat.

Пишем букву Y и нажимаем на ENTER.

Начнется удаление компонентов трояна и восстановление системных настроек в реестре.

Когда этот процесс будет закончен, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

 

После перезагрузки процедура удаления снова ненадолго продолжится.

Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.

После этого, если что-то будет еще беспокоить, желательно сделать новые логи (AVZ и HijackThis) + также не будет лишним присоединить лог SDFix к своему сообщению.

SDFix.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cкачиваем SDFix.rar, разархивируем SDFix и запускаем (это самораспаковывающийся архив).

.......................

 

 

Спасибо благородному рыцарю (to noble VladimirSS)!!!

 

Только с вашей помощью удалось прикончить Win32.Agent.pz, который не определялся ни NOD32, ни DrWeb!!! После загрузки SpyBot обнаружилось куча шпионского ПО, выявилось наличие Win32.Agent.pz. Однако удалить Win32.Agent.pz SpyBot оказался не в состоянии. Вручную тоже получилось только один раз в безопасном режиме, но после перезагрузки эти файлы

возникли вновь.

 

Решилась проблема только после посещения вашего форума, на который вышел по слову wsnpoem (название зараженной папки).

 

Интересно, что после контрольной проверки NOD32 нашел в составе файлов программы SDFix трояна. Интересно также то, что изрядное количество вредоносных файлов были на моем компьютере

изначально (время их создания совпадает с временем установки операционной системы).

 

Еще раз спасибо форуму и Владимиру!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

....Интересно, что после контрольной проверки NOD32 нашел в составе файлов программы SDFix трояна...

Подобные утилиты пишутся с целью выличить комп, а не для того что бы соблюдать приличия (механизм убийства процесов, удаление изменение ключей реестра и т.д.).

В борьбе с врагом все средства хороши.

Avast например определяет 2 файла у Panda как зараженные - это не значит ровным счетом ничего.

Считайте это ложным срабатыванием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще как говорится: "использование нескольких различных антивирусов на одном компьютере может привести к самым непредвиденным последствиям".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VladimirSS,большое Вам спасибо за наставления в отношении шпиона. Даже представить не могу себе, как Вы делаете то же самое, но за бабки, не говоря уже о хороших бабках.

 

С уважением, <lee_harvey_oslik>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще как говорится: "использование нескольких различных антивирусов на одном компьютере может привести к самым непредвиденным последствиям".

фигня! полно людей которые юзают 2 антивиря на компе исходя из того что

1. Каждый из них работает со своей базой (что не поймал один - поймал другой).

2. у них разные дополнительные полезные примочки.

 

 

VladimirSS,большое Вам спасибо за наставления в отношении шпиона. Даже представить не могу себе, как Вы делаете то же самое, но за бабки, не говоря уже о хороших бабках.

 

С уважением, <lee_harvey_oslik>

я обслуживаю много компьютеров, которые используются в комерческих целях.

руководителям проще заплатить, чем вникать в эту байду.

 

ЗЫ я даже своей машиной не пользуюсь. Мне либо такси оплачивают либо машину присылают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток.

 

Я видать тоже эту штуку поймал, где, откуда - черт знает, но не суть.

Суть того что он появился, и как бы пропал.

Я его заметил только тогда, когда мне при входе в винду стала вылетать виндоусовская ошибка в отношении файла ntos.exe что мол "обратился к адресу, не можыть быть "read"", в таком духе.

Самого файла в system32 нету, да и нигде на компе не нашел, в autoruns он стоит рядом с userinit, userinit есть, а по поводу ntos там написано что файл не найден.

 

Что выходит, он сам сдох что ли? И, и можно ли сейчас убрать его из автозагрузки, что бы при входе в винду глаза не мазолила эта ошибка?

Просто меня настораживает то, что ключик то в реестре остался, а он каким то местом связан с userinit, боюсь что отрублю этот ntos.exe (которого по идее нету) и все равно будет какой-нибудь косяк.

 

Заранее благодарен за ответ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Этот троян устанавливается как руткит и скрывает своё присутствие. Обнаружить его можно с помощью GMER, либо Rootkit сканера авиры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to VladimirSS

 

1) Вначале этот вирус определил d-r Web, затем я выполнила sfc /scannow и проверку C с автоматическим исправлением.

Не помогло.

 

2)Потом разархивировала ваш файл, запустила из защищенного режима. При перезагрузке комп перезагрузился лишний раз, и когда исправление окончилось, получились такие отчеты:

SDFix: Version 1.88

 

Run by Sveta on 23.09.2008 at 16:14

 

Microsoft Windows XP [‚ҐабЁп 5.1.2600]

 

Running From: C:\DOCUME~1\Sveta\C316~1\SDFix\SDFix\SDFix

 

Safe Mode:

Checking Services:

 

 

 

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Restoring Missing Security Center Service

Restoring Missing SharedAccess Service

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

 

Could Not Remove C:\WINDOWS\system32\wsnpoem\audio.dll

Could Not Remove C:\WINDOWS\system32\wsnpoem\video.dll

 

 

Removing Temp Files...

 

ADS Check:

 

Checking C:\WINDOWS

C:\WINDOWS

No streams found.

 

Checking C:\WINDOWS\system32

C:\WINDOWS\system32

No streams found.

 

Checking C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.

 

Checking C:\WINDOWS\system32\ntoskrnl.exe

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"="C:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe:*:Enabled:javaw"

"F:\\sysutils\\GHOST\\GHOSTSRV.EXE"="F:\\sysutils\\GHOST\\GHOSTSRV.EXE:*:Enabled:Symantec GhostCast Server"

"C:\\Program Files\\InterVideo\\DVD6\\WinDVD.exe"="C:\\Program Files\\InterVideo\\DVD6\\WinDVD.exe:*:Enabled:WinDVD"

"C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"

"E:\\‘Ћ”’\\qip8000\\qip.exe"="E:\\‘Ћ”’\\qip8000\\qip.exe:*:Enabled:Quiet Internet Pager"

"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"

"C:\\Documents and Settings\\Sveta\\Њ®Ё ¤®Єг¬Ґ­вл\\r_server.exe"="C:\\Documents and Settings\\Sveta\\Њ®Ё ¤®Єг¬Ґ­вл\\r_server.exe:*:Enabled:r_server"

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus for Workstation 5\\kavmm.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus for Workstation 5\\kavmm.exe:*:Enabled:kavmm"

"C:\\Program Files\\ICQ6\\ICQ.exe"="C:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"F:\\sysutils\\GHOST\\GHOSTSRV.EXE"="F:\\sysutils\\GHOST\\GHOSTSRV.EXE:*:Enabled:Symantec GhostCast Server"

 

Remaining Files:

---------------

C:\WINDOWS\system32\wsnpoem\audio.dll Found

C:\WINDOWS\system32\wsnpoem\video.dll Found

 

Backups Folder: - C:\DOCUME~1\Sveta\C316~1\SDFix\SDFix\SDFix\backups\backups.zip

 

Listing Files with Hidden Attributes:

 

C:\Documents and Settings\Sveta\Њ®Ё ¤®Єг¬Ґ­вл\“祡­лҐ\ЊҐва®«®ЈЁп\ќбЄЁ§ IV ‚ аЁ ­в ь6\„‡ ь1\~WRL2810.tmp

 

Listing User Accounts:

 

 

HelpAssistant SUPPORT_388945a0 Sveta

Ђ¤¬Ё­Ёбва в®а ѓ®бвм

Љ®¬ ­¤  ўлЇ®«­Ґ­  гбЇҐи­®.

 

 

Finished

 

и такой

 

Logfile of HijackThis v1.99.1

Scan saved at 16:51:05, on 23.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe

C:\Program Files\ABBYY Lingvo 12\Lvagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Documents and Settings\Sveta\Мои документы\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ri

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 -chkss

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 12\Lvagent.exe" /STARTUP

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://C:\Program Files\ABBYY Lingvo 12\Lingvo.exe/3000

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать &все при помощи ReGet Jr. - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Jr. - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/search.htm

O8 - Extra context menu item: Опубликовать в Дневнике - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/planet.htm

O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/dic.htm

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0143637D-214B-46F4-8103-7BFE671002C2}: NameServer = 172.21.1.10

O17 - HKLM\System\CS1\Services\Tcpip\..\{0143637D-214B-46F4-8103-7BFE671002C2}: NameServer = 172.21.1.10

O17 - HKLM\System\CS2\Services\Tcpip\..\{0143637D-214B-46F4-8103-7BFE671002C2}: NameServer = 172.21.1.10

O17 - HKLM\System\CS3\Services\Tcpip\..\{0143637D-214B-46F4-8103-7BFE671002C2}: NameServer = 172.21.1.10

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000 (file missing)

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

 

 

 

3) Затем повторила все еще раз. Снова разархивировала, перешла в защищенный режим и запустила bat-файл. После этого комп уже перезагружался бесконечно, зашла по F8 и получила такой файл отчета

SDFix: Version 1.88

 

Run by Sveta on 23.09.2008 at 16:41

 

Microsoft Windows XP [‚ҐабЁп 5.1.2600]

 

Running From: C:\DOCUME~1\Sveta\C316~1\SDFix\SDFix\SDFix

 

Safe Mode:

Checking Services:

 

 

 

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

 

Could Not Remove C:\WINDOWS\system32\wsnpoem\audio.dll

Could Not Remove C:\WINDOWS\system32\wsnpoem\video.dll

Could Not Remove C:\WINDOWS\system32\wsnpoem\audio.dll

Could Not Remove C:\WINDOWS\system32\wsnpoem\video.dll

 

 

Removing Temp Files...

 

ADS Check:

 

Checking C:\WINDOWS

C:\WINDOWS

No streams found.

 

Checking C:\WINDOWS\system32

C:\WINDOWS\system32

No streams found.

 

Checking C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.

 

Checking C:\WINDOWS\system32\ntoskrnl.exe

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"="C:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe:*:Enabled:javaw"

"F:\\sysutils\\GHOST\\GHOSTSRV.EXE"="F:\\sysutils\\GHOST\\GHOSTSRV.EXE:*:Enabled:Symantec GhostCast Server"

"C:\\Program Files\\InterVideo\\DVD6\\WinDVD.exe"="C:\\Program Files\\InterVideo\\DVD6\\WinDVD.exe:*:Enabled:WinDVD"

"C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"

"E:\\‘Ћ”’\\qip8000\\qip.exe"="E:\\‘Ћ”’\\qip8000\\qip.exe:*:Enabled:Quiet Internet Pager"

"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"

"C:\\Documents and Settings\\Sveta\\Њ®Ё ¤®Єг¬Ґ­вл\\r_server.exe"="C:\\Documents and Settings\\Sveta\\Њ®Ё ¤®Єг¬Ґ­вл\\r_server.exe:*:Enabled:r_server"

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus for Workstation 5\\kavmm.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus for Workstation 5\\kavmm.exe:*:Enabled:kavmm"

"C:\\Program Files\\ICQ6\\ICQ.exe"="C:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"F:\\sysutils\\GHOST\\GHOSTSRV.EXE"="F:\\sysutils\\GHOST\\GHOSTSRV.EXE:*:Enabled:Symantec GhostCast Server"

 

Remaining Files:

---------------

C:\WINDOWS\system32\wsnpoem\audio.dll Found

C:\WINDOWS\system32\wsnpoem\video.dll Found

C:\WINDOWS\system32\wsnpoem\audio.dll Found

C:\WINDOWS\system32\wsnpoem\video.dll Found

 

Backups Folder: - C:\DOCUME~1\Sveta\C316~1\SDFix\SDFix\SDFix\backups\backups.zip

 

Listing Files with Hidden Attributes:

 

C:\Documents and Settings\Sveta\Њ®Ё ¤®Єг¬Ґ­вл\“祡­лҐ\ЊҐва®«®ЈЁп\ќбЄЁ§ IV ‚ аЁ ­в ь6\„‡ ь1\~WRL2810.tmp

 

Listing User Accounts:

 

 

HelpAssistant SUPPORT_388945a0 Sveta

Ђ¤¬Ё­Ёбва в®а ѓ®бвм

Љ®¬ ­¤  ўлЇ®«­Ґ­  гбЇҐи­®.

 

 

Finished

 

Уже третьи сутки бьюсь с этим вирусом и ничего не получается...

Пожалуйста, помогите, очень не ко времени систему переустанавливать... :(

 

PS Из чисто академического интереса - почему у меня после каждого захода на форум на одно предупреждение становится больше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
to VladimirSS

 

1) Вначале этот вирус определил d-r Web, затем я выполнила sfc /scannow и проверку C с автоматическим исправлением.

Не помогло.

 

2)Потом разархивировала ваш файл, запустила из защищенного режима. При перезагрузке комп перезагрузился лишний раз, и когда исправление окончилось, получились такие отчеты:

 

 

и такой

 

 

 

 

 

3) Затем повторила все еще раз. Снова разархивировала, перешла в защищенный режим и запустила bat-файл. После этого комп уже перезагружался бесконечно, зашла по F8 и получила такой файл отчета

 

 

Уже третьи сутки бьюсь с этим вирусом и ничего не получается...

Пожалуйста, помогите, очень не ко времени систему переустанавливать... :lol:

 

PS Из чисто академического интереса - почему у меня после каждого захода на форум на одно предупреждение становится больше?

1 др web смог его вылечить или удалить ? в карантине drweb есть этот файл? если да, то оправить на virustotal.com и ссылку на анализ сюда.

2 следует учитывать -версия sdfix древняя

что с компом не так?

ps вообще не понял о каких предупреждения идет речь.

 

зыы отчеты лучше прикреплять файлами и если ситуация не изменилась лучше перейти в тему Я заразился вирусом, что делать и внимательно прочитать 1 пост и делать как там рекомендовано

 

я предполагаю что комп заражен чем-то еще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возможно я запоздал с ответом

но остальным будет полезно

- копирует свой файл как %windir%\System32\ntos.exe;

 

- модифицирует следующий стартовый ключ реестра, дописывая в него ссылку на свой файл:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="%windir%\\system32\\userinit.exe,%windir%\\system32\\ntos.exe,"

 

Затем завершает свою работу, не производя более никаких действий.

При записи своего файла в систему исходная копия троянца увеличивает размер инсталлируемого файла на произвольную величину (от 100 кб и более), дописывая в его конец случайные данные. Кроме того, присваиваемые инсталлируемому файлу дата и время его модификации умышленно передираются от системного компонента ntdll.dll, а также присваиваются атрибуты "только для чтения" и "архивный". В результате, вредоносный файл ntos.exe никак не выделяется среди прочих системных файлов, соседствующих с ним в одном каталоге.

Получив управление при первом перезапуске компьютера, троянец расшифровывает и загружает на обработку специальную ассемблерную процедуру, при помощи которой внедряет свой процесс прямо в системное ядро с возможностью контроля DMA (прямого доступа к памяти). В результате, вредоносный процесс оказывается недоступен для инициализации ни средствам встроенной в Windows защиты памяти для блокировки потенциально-опасных процедур, ни антивирусным и сетевым мониторам, а сам файл ntos.exe, не виден на диске компьютера, как если бы его действительно там не было.

Троянец контролирует и тут же отменяет модифицирование/удаление созданной им ссылки на свой файл в вышеуказанном ключе реестра.

Получив контроль над DMA, троянец создает следующий подкаталог с несколькими файлами:

 

%windir%\System32\wsnpoem\audio.dll

%windir%\System32\wsnpoem\video.dll

 

Изначально размер данных файлов является нулевым, поскольку никаких данных они не содержат. Однако в дальнейшем троянец записывает в них и шифрует какие-то служебные данные. Каталогу присваиваются атрибуты "скрытый" и "системный", а доступ к файлам в папке извне защищен точно так же, как и к файлу ntos.exe (т.е. каталог и содержащиеся в нем файлы не видны на диске компьютера).

 

утилиту для лечения Backdoor.Ntos. можно взять в http://homenet.beeline.ru/index.php?s=&amp...post&p=1777

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.