ntos.exe Опции

[_cash]

вопрос к знактокам
ntos.exe троян
прописывается в реестре на автозапуск в userinit.exe
кто лечил эту ** делимся опытом.


ps. просто без лишних негативных слов..

Сообщение отредактировал GaltroS - Jun 20 2007, 17:47

[DJ Mixxx]

скорее всего трой..
какой антивир стоит??

[Abras]

скорее всего трой..
какой антивир стоит??

Да, это троян -Trojan-Spy.Win32.Banker.cmb
Судя по описанию на http://www.viruslist.com/en/viruses/encycl...?virusid=154559 должен быть обнаружен Касперским.
Так что _cash сканьтесь им. Если инета нет, то вот его описания на Английском. Русского описания НЕТ.

Код

Technical details


This Trojan program is designed to steal confidential data. It is a Windows PE EXE file, and is 34304 bytes in size. It is packed using a customized packer.

The Trojan copies itself to
%sysdir%\ntos.exe

with system, read only and archive attributes.

When copying it appends random-sized junk to the end of its file in an attempt to make detection more difficult. It does not modify the PE header.

It creates the following directory:
%sysdir%\wsnpoem\ (hidden, system attributes)

%sysdir%\wsnpoem\audio.dll - data file
%sysdir%\wsnpoem\video.dll - config file

The Trojan adds itself to the following registry keys:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
userinit="%sysdir%\ntos.exe"


[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
userinit="%sysdir%\ntos.exe"

It modifies:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Value "Userinit":

from
"%sysdir%\userinit.exe,"
to
"%sysdir%\userinit.exe,%sysdir%\ntos.exe,"

The Trojan injects itself into winlogon.exe and from there on functions as a handle.

It creates the following mutex:
__SYSTEM__64AD0625__

to flag its presence in the system. Payload


The Trojan contacts 81.95.148.244 to download its config file, check for updates and to transmit harvested data.

It accesses PStore to retrieve passwords.

It also monitors network activity for the following:
*Tan*
*Schmetterling*
*berweisung*
*Amount*
*tanentry*
*RESULT2*
*citibank.de/*
I2=*&H0=DT
*banking.*/cgi/ueber*.cgi*
bankofamerica.com/cgi-bin/ias/*/GotoWelcome
https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
CustomerServiceMenuEntryPoint?custAction=75

The Trojan captures information submitted via POST by browser to steal login data from sites.

Captured data is transferred via FTP.

[_cash]

касперский к сожалению его не обнаружививает. ни 5й, ни 6й. может быть из за того что обновить комп нет никакой возможности. единственное с помощью шестого заблокировал измение в реестр, теперь он каждую секунду пытается прописаться в userint.exe .
помещение файла в карантин spybot и антивирусов ничего не дали.
проблема не решена

[DJ Mixxx]

ну так нужно обновится как то или читай предыдущий мануал на буржуйском и ручками, ручками..

[_cash]

DJ Mixxx в этом мануале только технические детали. никаких рекомендаций нет

"Технические детали


Эта троянская программа разработана, чтобы украсть конфиденциальные данные. Это - Windows PE EXE файл, и - 34304 байта в размере. Это упаковано, используя настроенного упаковщика.

Троянское копирует себя к
%sysdir %\ntos.exe

с системой, читайте только и архивируйте признаки.

Копируя это прилагает барахло случайно-размера до конца его файла в попытке сделать обнаружение более трудным. Это не изменяет удар головой PE.

Это создает следующий справочник:
%sysdir %\wsnpoem\ (скрытый, признаки системы)

%sysdir %\wsnpoem\audio.dll - картотека данных
%sysdir %\wsnpoem\video.dll - config файл

Троянское добавляет себя к следующим ключам регистрации:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
userinit = "% sysdir %\ntos.exe"


[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
userinit = "% sysdir %\ntos.exe"

Это изменяет:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Ценность "Userinit":

от
"%sysdir %\userinit.exe,"
к
"%sysdir %\userinit.exe, %sysdir %\ntos.exe,"

Троянское вводит себя в winlogon.exe и оттуда на функциях как ручка.

Это создает следующий mutex:
__СИСТЕМА __ 64AD0625 __

сигнализировать его присутствие в системе. Полезный груз


Троянские контакты 81.95.148.244, чтобы загрузить его config файл, проверьте для обновлений и передать собранные данные.

Это получает доступ к PStore, чтобы восстановить пароли.

Это также контролирует деятельность сети для следующего:
*Tan*
*Schmetterling*
*berweisung*
*Amount*
*tanentry*
*RESULT2*
*citibank.de/*
I2=*&H0=DT
*banking.*/cgi/ueber*.cgi*
bankofamerica.com/cgi-bin/ias/*/GotoWelcome
https://onlineeast.bankofamerica.com/cgi-bi...s/*/GotoWelcome
CustomerServiceMenuEntryPoint?custAction=75

Троянская информация захватов подчинялась через ПОСТ браузером, чтобы украсть данные логина от участков.

Захваченные данные переданы через ПРОГРАММУ ПЕРЕДАЧИ ФАЙЛОВ."

[DJ Mixxx]

_cash, ой блииииин..... обьясняю для танкистов...
тут написано где, куда и под каким именем он себя копирует и прописывает в реестр какие значения..
идя от противного, можно находить эти файлы/значения и удалять ручками...

ах да... и спасибо за *** перевод, на буржуйском и то было понятнее написано(по крайней мере мне)..

ps без слов, относящихся к ненормативной лексике.

Сообщение отредактировал GaltroS - Jun 21 2007, 19:05

[VladimirSS]

Cкачиваем SDFix.rar, разархивируем SDFix и запускаем (это самораспаковывающийся архив).
В системном каталоге будет создана папка SDFix:
C:\SDFix
Теперь необходимо перезагрузить компьютер в безопасный режим (Safe Mode)
При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
Открываем папку SDFix и запускаем файл RunThis.bat.
Пишем букву Y и нажимаем на ENTER.
Начнется удаление компонентов трояна и восстановление системных настроек в реестре.
Когда этот процесс будет закончен, SDFix попросить вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

После перезагрузки процедура удаления снова ненадолго продолжится.
Ждем, пока появится надпись Finished и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустой - это нормально, поэтому не пугаемся).
Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием Report.txt), где будут описаны все сделанные им действия.
После этого, если что-то будет еще беспокоить, желательно сделать новые логи (AVZ и HijackThis) + также не будет лишним присоединить лог SDFix к своему сообщению.

Прикрепленные файлы

 SDFix.rar ( 720.98 килобайт ) Кол-во скачиваний: 31342

 

[_cash]

VladimirSS спасибо!

Прикрепленные файлы

 Report.txt ( 2.94 килобайт ) Кол-во скачиваний: 506

 

[arkady347]

Cкачиваем SDFix.rar, разархивируем SDFix и запускаем (это самораспаковывающийся архив).
.......................

Спасибо благородному рыцарю (to noble VladimirSS)!!!

Только с вашей помощью удалось прикончить Win32.Agent.pz, который не определялся ни NOD32, ни DrWeb!!! После загрузки SpyBot обнаружилось куча шпионского ПО, выявилось наличие Win32.Agent.pz. Однако удалить Win32.Agent.pz SpyBot оказался не в состоянии. Вручную тоже получилось только один раз в безопасном режиме, но после перезагрузки эти файлы
возникли вновь.

Решилась проблема только после посещения вашего форума, на который вышел по слову wsnpoem (название зараженной папки).

Интересно, что после контрольной проверки NOD32 нашел в составе файлов программы SDFix трояна. Интересно также то, что изрядное количество вредоносных файлов были на моем компьютере
изначально (время их создания совпадает с временем установки операционной системы).

Еще раз спасибо форуму и Владимиру!

[VladimirSS]

....Интересно, что после контрольной проверки NOD32 нашел в составе файлов программы SDFix трояна...

Подобные утилиты пишутся с целью выличить комп, а не для того что бы соблюдать приличия (механизм убийства процесов, удаление изменение ключей реестра и т.д.).
В борьбе с врагом все средства хороши.
Avast например определяет 2 файла у Panda как зараженные - это не значит ровным счетом ничего.
Считайте это ложным срабатыванием.

[PROvej]

Вообще как говорится: "использование нескольких различных антивирусов на одном компьютере может привести к самым непредвиденным последствиям".

Сообщение отредактировал PROvej - Jul 3 2007, 08:36

[lee_harvey_oslik]

VladimirSS,большое Вам спасибо за наставления в отношении шпиона. Даже представить не могу себе, как Вы делаете то же самое, но за бабки, не говоря уже о хороших бабках.

С уважением, <lee_harvey_oslik>

[VladimirSS]

Вообще как говорится: "использование нескольких различных антивирусов на одном компьютере может привести к самым непредвиденным последствиям".

фигня! полно людей которые юзают 2 антивиря на компе исходя из того что
1. Каждый из них работает со своей базой (что не поймал один - поймал другой).
2. у них разные дополнительные полезные примочки.

VladimirSS,большое Вам спасибо за наставления в отношении шпиона. Даже представить не могу себе, как Вы делаете то же самое, но за бабки, не говоря уже о хороших бабках.

С уважением, <lee_harvey_oslik>

я обслуживаю много компьютеров, которые используются в комерческих целях.
руководителям проще заплатить, чем вникать в эту байду.

ЗЫ я даже своей машиной не пользуюсь. Мне либо такси оплачивают либо машину присылают.

Сообщение отредактировал VladimirSS - Oct 22 2007, 17:27

[Plastic_Solar]

Доброго времени суток.

Я видать тоже эту штуку поймал, где, откуда - черт знает, но не суть.
Суть того что он появился, и как бы пропал.
Я его заметил только тогда, когда мне при входе в винду стала вылетать виндоусовская ошибка в отношении файла ntos.exe что мол "обратился к адресу, не можыть быть "read"", в таком духе.
Самого файла в system32 нету, да и нигде на компе не нашел, в autoruns он стоит рядом с userinit, userinit есть, а по поводу ntos там написано что файл не найден.

Что выходит, он сам сдох что ли? И, и можно ли сейчас убрать его из автозагрузки, что бы при входе в винду глаза не мазолила эта ошибка?
Просто меня настораживает то, что ключик то в реестре остался, а он каким то местом связан с userinit, боюсь что отрублю этот ntos.exe (которого по идее нету) и все равно будет какой-нибудь косяк.

Заранее благодарен за ответ.

[djet]

Этот троян устанавливается как руткит и скрывает своё присутствие. Обнаружить его можно с помощью GMER, либо Rootkit сканера авиры.

[Тортилла]

to VladimirSS

1) Вначале этот вирус определил d-r Web, затем я выполнила sfc /scannow и проверку C с автоматическим исправлением.
Не помогло.

2)Потом разархивировала ваш файл, запустила из защищенного режима. При перезагрузке комп перезагрузился лишний раз, и когда исправление окончилось, получились такие отчеты:

SDFix: Version 1.88

Run by Sveta on 23.09.2008 at 16:14

Microsoft Windows XP [‚ҐабЁп 5.1.2600]

Running From: C:\DOCUME~1\Sveta\C316~1\SDFix\SDFix\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:


Could Not Remove C:\WINDOWS\system32\wsnpoem\audio.dll
Could Not Remove C:\WINDOWS\system32\wsnpoem\video.dll


Removing Temp Files...

ADS Check:

Checking C:\WINDOWS
C:\WINDOWS
No streams found.

Checking C:\WINDOWS\system32
C:\WINDOWS\system32
No streams found.

Checking C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.

Checking C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"="C:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe:*:Enabled:javaw"
"F:\\sysutils\\GHOST\\GHOSTSRV.EXE"="F:\\sysutils\\GHOST\\GHOSTSRV.EXE:*:Enabled:Symantec GhostCast Server"
"C:\\Program Files\\InterVideo\\DVD6\\WinDVD.exe"="C:\\Program Files\\InterVideo\\DVD6\\WinDVD.exe:*:Enabled:WinDVD"
"C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"
"E:\\‘Ћ”’\\qip8000\\qip.exe"="E:\\‘Ћ”’\\qip8000\\qip.exe:*:Enabled:Quiet Internet Pager"
"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Documents and Settings\\Sveta\\Њ®Ё ¤®Єг¬Ґ­вл\\r_server.exe"="C:\\Documents and Settings\\Sveta\\Њ®Ё ¤®Єг¬Ґ­вл\\r_server.exe:*:Enabled:r_server"
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus for Workstation 5\\kavmm.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus for Workstation 5\\kavmm.exe:*:Enabled:kavmm"
"C:\\Program Files\\ICQ6\\ICQ.exe"="C:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\\sysutils\\GHOST\\GHOSTSRV.EXE"="F:\\sysutils\\GHOST\\GHOSTSRV.EXE:*:Enabled:Symantec GhostCast Server"

Remaining Files:
---------------
C:\WINDOWS\system32\wsnpoem\audio.dll Found
C:\WINDOWS\system32\wsnpoem\video.dll Found

Backups Folder: - C:\DOCUME~1\Sveta\C316~1\SDFix\SDFix\SDFix\backups\backups.zip

Listing Files with Hidden Attributes:

C:\Documents and Settings\Sveta\Њ®Ё ¤®Єг¬Ґ­вл\“祡­лҐ\ЊҐва®«®ЈЁп\ќбЄЁ§ IV ‚ аЁ ­в ь6\„‡ ь1\~WRL2810.tmp

Listing User Accounts:


HelpAssistant SUPPORT_388945a0 Sveta
Ђ¤¬Ё­Ёбва в®а ѓ®бвм
Љ®¬ ­¤  ўлЇ®«­Ґ­  гбЇҐи­®.


Finished

и такой

Logfile of HijackThis v1.99.1
Scan saved at 16:51:05, on 23.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe
C:\Program Files\ABBYY Lingvo 12\Lvagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Documents and Settings\Sveta\Мои документы\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/ri
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 12\Lvagent.exe" /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://C:\Program Files\ABBYY Lingvo 12\Lingvo.exe/3000
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать &все при помощи ReGet Jr. - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Закачать при помощи Re&Get Jr. - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/search.htm
O8 - Extra context menu item: Опубликовать в Дневнике - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/planet.htm
O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll/dic.htm
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0143637D-214B-46F4-8103-7BFE671002C2}: NameServer = 172.21.1.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{0143637D-214B-46F4-8103-7BFE671002C2}: NameServer = 172.21.1.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{0143637D-214B-46F4-8103-7BFE671002C2}: NameServer = 172.21.1.10
O17 - HKLM\System\CS3\Services\Tcpip\..\{0143637D-214B-46F4-8103-7BFE671002C2}: NameServer = 172.21.1.10
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe" -run bl -n Workstation -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

3) Затем повторила все еще раз. Снова разархивировала, перешла в защищенный режим и запустила bat-файл. После этого комп уже перезагружался бесконечно, зашла по F8 и получила такой файл отчета

SDFix: Version 1.88

Run by Sveta on 23.09.2008 at 16:41

Microsoft Windows XP [‚ҐабЁп 5.1.2600]

Running From: C:\DOCUME~1\Sveta\C316~1\SDFix\SDFix\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:


Could Not Remove C:\WINDOWS\system32\wsnpoem\audio.dll
Could Not Remove C:\WINDOWS\system32\wsnpoem\video.dll
Could Not Remove C:\WINDOWS\system32\wsnpoem\audio.dll
Could Not Remove C:\WINDOWS\system32\wsnpoem\video.dll


Removing Temp Files...

ADS Check:

Checking C:\WINDOWS
C:\WINDOWS
No streams found.

Checking C:\WINDOWS\system32
C:\WINDOWS\system32
No streams found.

Checking C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.

Checking C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"="C:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe:*:Enabled:javaw"
"F:\\sysutils\\GHOST\\GHOSTSRV.EXE"="F:\\sysutils\\GHOST\\GHOSTSRV.EXE:*:Enabled:Symantec GhostCast Server"
"C:\\Program Files\\InterVideo\\DVD6\\WinDVD.exe"="C:\\Program Files\\InterVideo\\DVD6\\WinDVD.exe:*:Enabled:WinDVD"
"C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"
"E:\\‘Ћ”’\\qip8000\\qip.exe"="E:\\‘Ћ”’\\qip8000\\qip.exe:*:Enabled:Quiet Internet Pager"
"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Documents and Settings\\Sveta\\Њ®Ё ¤®Єг¬Ґ­вл\\r_server.exe"="C:\\Documents and Settings\\Sveta\\Њ®Ё ¤®Єг¬Ґ­вл\\r_server.exe:*:Enabled:r_server"
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus for Workstation 5\\kavmm.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus for Workstation 5\\kavmm.exe:*:Enabled:kavmm"
"C:\\Program Files\\ICQ6\\ICQ.exe"="C:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\\sysutils\\GHOST\\GHOSTSRV.EXE"="F:\\sysutils\\GHOST\\GHOSTSRV.EXE:*:Enabled:Symantec GhostCast Server"

Remaining Files:
---------------
C:\WINDOWS\system32\wsnpoem\audio.dll Found
C:\WINDOWS\system32\wsnpoem\video.dll Found
C:\WINDOWS\system32\wsnpoem\audio.dll Found
C:\WINDOWS\system32\wsnpoem\video.dll Found

Backups Folder: - C:\DOCUME~1\Sveta\C316~1\SDFix\SDFix\SDFix\backups\backups.zip

Listing Files with Hidden Attributes:

C:\Documents and Settings\Sveta\Њ®Ё ¤®Єг¬Ґ­вл\“祡­лҐ\ЊҐва®«®ЈЁп\ќбЄЁ§ IV ‚ аЁ ­в ь6\„‡ ь1\~WRL2810.tmp

Listing User Accounts:


HelpAssistant SUPPORT_388945a0 Sveta
Ђ¤¬Ё­Ёбва в®а ѓ®бвм
Љ®¬ ­¤  ўлЇ®«­Ґ­  гбЇҐи­®.


Finished

Уже третьи сутки бьюсь с этим вирусом и ничего не получается...
Пожалуйста, помогите, очень не ко времени систему переустанавливать...

PS Из чисто академического интереса - почему у меня после каждого захода на форум на одно предупреждение становится больше?

Сообщение отредактировал Тортилла - Sep 23 2008, 18:23

[VladimirSS]

to VladimirSS

1) Вначале этот вирус определил d-r Web, затем я выполнила sfc /scannow и проверку C с автоматическим исправлением.
Не помогло.

2)Потом разархивировала ваш файл, запустила из защищенного режима. При перезагрузке комп перезагрузился лишний раз, и когда исправление окончилось, получились такие отчеты:


и такой





3) Затем повторила все еще раз. Снова разархивировала, перешла в защищенный режим и запустила bat-файл. После этого комп уже перезагружался бесконечно, зашла по F8 и получила такой файл отчета


Уже третьи сутки бьюсь с этим вирусом и ничего не получается...
Пожалуйста, помогите, очень не ко времени систему переустанавливать...

PS Из чисто академического интереса - почему у меня после каждого захода на форум на одно предупреждение становится больше?

1 др web смог его вылечить или удалить ? в карантине drweb есть этот файл? если да, то оправить на virustotal.com и ссылку на анализ сюда.
2 следует учитывать -версия sdfix древняя
что с компом не так?
ps вообще не понял о каких предупреждения идет речь.

зыы отчеты лучше прикреплять файлами и если ситуация не изменилась лучше перейти в тему Я заразился вирусом, что делать и внимательно прочитать 1 пост и делать как там рекомендовано

я предполагаю что комп заражен чем-то еще.

Сообщение отредактировал VladimirSS - Sep 24 2008, 08:55

[VladimirSS]

возможно я запоздал с ответом
но остальным будет полезно
- копирует свой файл как %windir%\System32\ntos.exe;

- модифицирует следующий стартовый ключ реестра, дописывая в него ссылку на свой файл:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="%windir%\\system32\\userinit.exe,%windir%\\system32\\ntos.exe,"

Затем завершает свою работу, не производя более никаких действий.
При записи своего файла в систему исходная копия троянца увеличивает размер инсталлируемого файла на произвольную величину (от 100 кб и более), дописывая в его конец случайные данные. Кроме того, присваиваемые инсталлируемому файлу дата и время его модификации умышленно передираются от системного компонента ntdll.dll, а также присваиваются атрибуты "только для чтения" и "архивный". В результате, вредоносный файл ntos.exe никак не выделяется среди прочих системных файлов, соседствующих с ним в одном каталоге.
Получив управление при первом перезапуске компьютера, троянец расшифровывает и загружает на обработку специальную ассемблерную процедуру, при помощи которой внедряет свой процесс прямо в системное ядро с возможностью контроля DMA (прямого доступа к памяти). В результате, вредоносный процесс оказывается недоступен для инициализации ни средствам встроенной в Windows защиты памяти для блокировки потенциально-опасных процедур, ни антивирусным и сетевым мониторам, а сам файл ntos.exe, не виден на диске компьютера, как если бы его действительно там не было.
Троянец контролирует и тут же отменяет модифицирование/удаление созданной им ссылки на свой файл в вышеуказанном ключе реестра.
Получив контроль над DMA, троянец создает следующий подкаталог с несколькими файлами:

%windir%\System32\wsnpoem\audio.dll
%windir%\System32\wsnpoem\video.dll

Изначально размер данных файлов является нулевым, поскольку никаких данных они не содержат. Однако в дальнейшем троянец записывает в них и шифрует какие-то служебные данные. Каталогу присваиваются атрибуты "скрытый" и "системный", а доступ к файлам в папке извне защищен точно так же, как и к файлу ntos.exe (т.е. каталог и содержащиеся в нем файлы не видны на диске компьютера).

утилиту для лечения Backdoor.Ntos. можно взять в http://homenet.beeline.ru/index.php?s=&...post&p=1777