Хитрый вирус или с памятью нелады реально...

я только не понял - это проверка, или еще и "лечение"... он там может ячейки то восстанавливать типа или как?

ну да... давненько Винда стоит... это есть...

хм...

я видел такое приложение в списке запущенных... выгружал его... и еще там какое-то "чужое" из 4-х букв было

но это я запомнил, потом что прочитал как "nots.exe", а т.к. запускал блокnot - как то мимо прошел...

а не видит его еще и НОД - повторюсь, он запускается с самого начала и в трее висит... т.е. его то я запускаю нормально...

НО... в безопасном то режиме в списке приложений его нет... а результат такой же...

наверняка смогу посмотреть только вечером, инета соответсвенно не будет, так что если не трудно - кратенькую интсрукцию дайте по борьбе...

Только проверка - многократная запись и чтение ячейки, с последующим сравнением записанного значения и того, что прочлось, проделывается множество раз с каждой ячейкой, если хотя бы один раз значения не совпадут - с ячейкой проблемы.

1. Нужно либо 2 компьютера, либо Windows загружающийся с CD

2. Если 2 компьютера есть, и они в сети, то на чистом компьютере заходите в реестр и подключайтесь к зараженному компьютеру. Зараженный компьютер должен быть в положении ввода пароля, т.е. что бы рабочий стол до этого не разу не загружался.

3. HKEY_LOGAN_MASHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

Находим там строковый параметр Userinit и оставляем там только \Windows\system32\userinit.exe,

4. Заходим в папку зараженного компьютера (с чистого) \Windows\system32\ и удаляем или переименовываем ntos.exe

___________________________

Выполнял всегда первые 4 процедуры, т.к. всегда больше 2 компьютеров.

5. Если есть Windows загружающийся с CD, то загружаемся с него, удаляем файл ntos.exe. Перезагружаемся, выполняем пункт 3 и потом очередная перезагрузка.

6. Все тоже самое (5), но жесткий диск зараженного компьютера снимается и ставится на чистый компьютер.

albion добавил 07.07.2008 в 12:18

Не разу не удавалось мне его увидеть в списке загруженых программ, не стандартным диспетчером задач, не Process Explorer (шифруется зараза).

С помощью этой программы: SDFix всегда легко избавлялся от этого вируса. Антивирусы часто не реагируют не только на файл ntos.exe, но и сопутствующие ему. Соответственно, ручное удаление одного этого файла - полдела.

Единственное, перед применением, обязательно убедиться, что в папке system32\ файл userinit.exe присутствует и не переименован. Т.к. сдфикс только восстанавливает ключи реестра и удалаяет вредные файлы.

ЗЫ, если ничего не запускается из безопасного режима, попробовать варианты:

- перезапустить explorer.exe (через диспетчер задач);

- зайти под другой учетной записью.

В одной из вариаций этого вируса значение тут же менялось на исходное, то есть вирус моментально подставлял свой путь.

Проверяется просто: меняем значение на правильное, закрываем редактор реестра, открываем снова, если не поменялось - повезло.

ребят всем спасибо!!!

(плюсики чего то не ставятся)

собрал варианты на несколько случаев - сегодня домой приеду - поковыряюсь со всем...

завтра постараюсь отписаться (или сегодня уже из дома - надеюсь)...

нод - реальная шняга, касперский+мозги=лучше нет связки

пробуйте загрузиться в безопасном режиме и позапускать проги - если запустятся, значит какое-то приложение блокирует их запуск при нормальном режиме, причем не обязательно вирусное, а чаще обычно антивирусное ;) тот же нод или аутпост "съехал с катушек"

если в безопасном такая же вата, то начинайте тыкать память (хорошо если две планки или есть чем заменить для проверки)

dspu,

а нтос стартуется непосредственно при заходе в учетку, в безопасном режиме тоже.

а что уже доказано где-то в ветке, что это великий и ужасный нтос?

http://www.securitylab.ru/processinfo/300021.php

dspu, по-моему тоже писали (хотя и расплывчато), как тему читаете? Может и не то, но вирь что-то часто стал встречаться - симптом его.

Можно F5

Поэтому я и пишу: