ntos.exe

[michela.molinar]

Salve a tutti!
ho gia letto il post di nuvoletta_... sembra che ho un problema simile.
Ho seguito il link per usare FindAWF.exe, a casa provero' se fa a caso mio..

Ho questi problemi:la connessione ad internet non va.
Sicuramente ho preso qualche malware navigando in rete.
Sintomi iniziali al mattino: la connessione di rete funzionava,ma
internet explorer non funzionava.Si avviavano WLLoginProxy.exe e dwwin.exe(data creazione 2002)e il normale processo iexplorer.exe.
tutti i programmi che richiedevano accesso a internet non lo ottenevano ( giochi, msn..)

Nel Task Manager si attivava questi processi che non avevo mai visto attivarsi:


1)C:\WINDOWS\system32 dwwin.exe
2)C:\WINDOWS\system32 wscntfy.exe (mai visto prima!! data crazione 2008)L'HO ELIMINATO (ho sbagliato?)
3)C:\WINDOWS\system32 alg.exe (mai visto prima!! ma supporto x plug-in)

4)whsyst32.exe ( Proprita': non c'e' la Versione, creazione Recente nel 03/2008 - sospetto)
5)C:\WINDOWS Isys32.exe (Eliminato Manualmente)

-Scansione con AVG (aggiornato) e ho ripulito.
-Ho fatto la scansione con Spybot e mi ha rilevato difatti il seguente win32:

Win32.Agent.pz
c:\Windows\System32\msnpoem\video.dll
c:\Windows\System32\msnpoem\audio.dll
c:\Windows\System32\msnpoem\

Impostazioni:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\cu rrentversion\winlogon\Userinit=...c:\Windows\Syste m32\ntos.exe
(ntos.exe)

-ad ogni scansione (anche modalita' provvisoria) con Spybot mi trova Win32.Agent.pz mi corregge solo la Chiave di registro:
(HKEY_LOCAL_MACHINE\SOFTWARE...) i file .dll non li corregge!Ma ad ogni riavvio si genera ntos.exe infettato.

In System32 non esiste la cartella msnpoem (nemmeno con visualizza cartelle nascoste).
Esiste pero' ntos.exe in c:\Windows\System32\ntos.exe (data crazione 2002) forse è il file infettato??<- DEVO USARE FindAWF.exe come nel caso di NUVELLETTA?

-dalla modalita' provvisoria ho cancellato in Risorse di rete un cartella con un indirizzo IP sopra.
( mai avuta prima, ho sbagliato?????).
-dalla modalita' provvisoria ho cancellato whsyst32.exe

-Scansione con RootkitBuster 1.6 Beta trova:
c:\Windows\System32\msnpoem\video.dll
c:\Windows\System32\msnpoem\audio.dll
c:\Windows\System32\ntos.exe

-Scansione con Ad-Aware trova video.dll audio.dll ntos.exe li elimina. alle successive scansioni non rileva + nulla.

-Scansione dalla modalità provvisoria con fixLinkopt(Symatec - tool 1.0.8 non aggiornato)nessun problema
-Scansione PrevX (D17T2F8)scaricato(non aggiornato)nessun problema

-dalla modalità provvisoria in avvio compare si User che Administrator e' lecito o anomalo(???)


Sintomi attuali:
Quando clicco sull'icona ADSL non si apre la finestra della connessione ADSL.(adsl flat)
(il tringolino della connessione ADSL è verde.) explorer si apre senza visualizzare alcuna pagina.

Sto facendo back up di tutto!! Quindi sbizzarritevi con i consigli...
Saluti!!!

[michela.molinar]

PURTROPPO NON HO SALVATO QUELLO DI HIJACKTHIS LO POSTERO' IN SEGUITO.
---

+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\ntos.exe
FullPathLength: 28
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x21
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\wsnpoem\audio.dll
FullPathLength: 37
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\WINDOWS\system32\wsnpoem\video.dll
FullPathLength: 37
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x20
ShareAccess : 0x0
Type : 0x0
3 hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hid

[Deifobe]

ciao se vuoi lo risolviamo insieme... vedo che ti sei data da fare...

Per prima cosa, la più importante... quando elimini un file devi esserne certa.. e, nel dubbio, usa inizialmente Virustotal (anche se ora avevi il problema della connessione)

Questo è uno dei files che hai eliminato: ...system32\wscntfy.exe ( Windows Security Center Notification); questi, invece, sono i files infetti, quelli che forse avevi trovato tu ...windows\wscntfy.exe e System32\wsçntfy.exe. Magari era infetto comunque... ma stai attenta per il futuro

FindAWF.exe è un programma che serve per un'altra infezione.. Si parlava di instant access e l'avevo chiesto.. molto probabilmente a te non servirà.

Dovresti postare il log di hjt e scaricare Avenger e SystemScan nel pc infetto, magari con una pen usb.

[michela.molinar]

Grazie dei consigli..
Prima di fare quello che mi hai consigliato devo fare aggiustare il monitor perchè non si accende più! Spero non sia dovuto al virus!!!!!!!!!!!!!!!!
Ho collegato il mio pc al monitor di un amico e il pc va ( restano i soliti problemi di connessione gia' descritti sopra.. che guardero' dopo aver portato il monitor ad aggiustare!).
:master: Spero che sia un problema hardware del monitor, indipendente dai driver del pc e dai virus..!
Ti postero' il Log di HJackThis dopo aver portato il monitor da un tecnico..!
Grazie Grazie !!

[michela.molinar]

Mi sono dimenticata di dire che (usando il monitor di un amico )sono andata a cercare la chiave di registro in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\cu rrentversion\winlogon\Userinit=...c:\Windows\Syste m32\ntos.exe
ma nella voce Microsoft non era presente nessuna sottocartella \WindowsNT\...!!
quindi non ho potuto eliminare la chiave infetta.!!
Cmq postero' quando avro' un monitor funzionante!!
Saluti!