Начал обсуждение на http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=149294, там все симптомы.
Что делать, ума не приложу. Номер лицензии 1401970200.
Вся надежда на вас.
Не могу избавиться от вируса.
Автор
HandleX
, апр 09 2008 13:03
14 ответов в этой теме
#2
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 09 Апрель 2008 - 13:21
Провериться свежим КуреИтом - http://www.freedrweb.com/ в безопасном режиме с отключенным восстановлением системы.
Файл C:WINDOWSsystem32ntos.exe детектится Доктором?
Как детектится "файл со случайным именем с расширением .sys" ?
Как детектится "файло Vci05.sys" ?
Файл C:WINDOWSsystem32ntos.exe детектится Доктором?
Как детектится "файл со случайным именем с расширением .sys" ?
Как детектится "файло Vci05.sys" ?
#3
HandleX
-
- Members
- 6 Сообщений:
Newbie
Отправлено 09 Апрель 2008 - 14:13
Сейчас попробую в безопасном режиме по Вашему совету.
#4
Pavel Plotnikov
-
- Guests
- 5 276 Сообщений:
Отправлено 09 Апрель 2008 - 14:20
Выложенный вами файл -- Trojan.DownLoader.50037
Пожалуйста удалите его с форума.
Пожалуйста удалите его с форума.
#5
HandleX
-
- Members
- 6 Сообщений:
Newbie
Отправлено 09 Апрель 2008 - 14:27
Проверился свежим КуреИтом в безопасном режиме, система восстановления отключениа. Все симптомы те же.
Ключ реестра HKLM...WinlogonUserinit пргодолжает постоянно восстанавливаться на значение C:WINDOWSSYSTEM32Userinit.exe,C:WINDOWSsystem32ntos.exe .
С уважением, Александр.
Ключ реестра HKLM...WinlogonUserinit пргодолжает постоянно восстанавливаться на значение C:WINDOWSSYSTEM32Userinit.exe,C:WINDOWSsystem32ntos.exe .
С уважением, Александр.
#7
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 09 Апрель 2008 - 14:42
C:WINDOWSsystem32ntos.exe сканером не детектируется?
#8
HandleX
-
- Members
- 6 Сообщений:
Newbie
Отправлено 09 Апрель 2008 - 15:29
И в папке System32 его нет, по крайней мере Far его не показывает.
#9
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 09 Апрель 2008 - 15:34
:(
Спасет только загрузка с внешнего носителя и ручное удаление этого файла из системного каталога. Затем сюда его: http://support.drweb.com/sendnew/
Спасет только загрузка с внешнего носителя и ручное удаление этого файла из системного каталога. Затем сюда его: http://support.drweb.com/sendnew/
#10
HandleX
-
- Members
- 6 Сообщений:
Newbie
Отправлено 11 Апрель 2008 - 07:05
Нашёл процесс, который постоянно мониторит значение userinit в реестре. Это был Winlogon. Ключ мониторился примерно 2 раза в секунду.
Нашёл поток в Winlogon'е, который постоянно проявлял подобную активнусть. Убил поток. Востановил значение ключа. Перезагрузился. В папке System32 наконец-то объявился виновник торжества — ntos.exe. Дрвеб с последними обновлениями его не видит.
Сейчас отошлю через страницу "приёма" свежих вирусов это чудо вам.
Нашёл поток в Winlogon'е, который постоянно проявлял подобную активнусть. Убил поток. Востановил значение ключа. Перезагрузился. В папке System32 наконец-то объявился виновник торжества — ntos.exe. Дрвеб с последними обновлениями его не видит.
Сейчас отошлю через страницу "приёма" свежих вирусов это чудо вам.
#11
DoC
-
- Posters
- 1 477 Сообщений:
Добрый Э-э-х
Отправлено 15 Апрель 2008 - 12:46
я уже отправлял новый давеча...
самое смешное в том, что последний доктор и курит пишут "Ошибка чтения: C:Windowssystem32ntos.exe"
И ВСЕ!!!
причем зверек активен, а когда активен - маскируется при локальном показе файлов, не дает себя читать/удалять/переименовывать/перемещать.... по сети кстати он виден (сам файл), но сделать все равно ничего не дает.
лечение - загрузка с отдельного носителя и удаление руками, потом правка реестра.
профилактика - создание в windowssystem32 папки NTOS.EXE - после сего виря не садится в систему ;-)
самое смешное в том, что последний доктор и курит пишут "Ошибка чтения: C:Windowssystem32ntos.exe"
И ВСЕ!!!
причем зверек активен, а когда активен - маскируется при локальном показе файлов, не дает себя читать/удалять/переименовывать/перемещать.... по сети кстати он виден (сам файл), но сделать все равно ничего не дает.
лечение - загрузка с отдельного носителя и удаление руками, потом правка реестра.
профилактика - создание в windowssystem32 папки NTOS.EXE - после сего виря не садится в систему ;-)
#12
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 15 Апрель 2008 - 12:52
Смешного ничего нет. :( Думается, было б неплохо это фтрекер или на Суппорт.самое смешное в том, что последний доктор и курит пишут "Ошибка чтения: C:Windowssystem32ntos.exe"
#13
DoC
-
- Posters
- 1 477 Сообщений:
Добрый Э-э-х
Отправлено 21 Апрель 2008 - 13:17
честно - каждый раз отправляя описываю проблему лечения.
для себя нашел единственный способ - создание папки. лучше варианта пока не придумал :-(
для себя нашел единственный способ - создание папки. лучше варианта пока не придумал :-(
#14
Loner
-
- Posters
- 21 Сообщений:
Newbie
Отправлено 07 Июнь 2008 - 20:16
Уже садится. Правда вы давно писали...по этому, не знаю как давно садится. Только вернулся от одной барышни, у которой в компе нашёл ntos.exe. Удалял ntos.exe, на его место кидал папку одноимённую, он тут же её подменял на себя. Отправил в лабораторию, ...жду.
#15
ILNARus
-
- Posters
- 636 Сообщений:
Advanced Member
Отправлено 09 Июнь 2008 - 06:50
папку надо сделать системным, на чтение, и еще туды поместить копию какой нибудь системного файла.... *.sys и тому подобные.
