Yeni bir baÅŸ belası daha çözüme kavuÅŸtu…
sisteminize ntos.exe virüsü bulaşmış ise şu adımları sırayla atlamadan izleyin
1-Sistemi güvenli modda açın
2- başlat-çalıştır regedit ile regediti açın
3-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“userinit”= C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\ntos.exe ÅŸeklinde görülür.
orjinali ise C:\WINDOWS\system32\userinit.exe, olamlıdır. oradaki eklentiyi silseniz bile kendisi 1 saniye içinde ekleyecektir. ( merak edersen başka bir anahtar seç. sonra winlogon seç ekledigini görürsün.)
4- İşte burada en önemli yer şu virüs bu anahtarın devamında
C:\WINDOWS\system32\ntos.exe var mı yokmu bakıyor yoksa ekliyor. yapılacak değişiklik kesinlikle bu metnin içinde değil sonunda olacak. yani C:\WINDOWS\system32\ntos.exe eklentisini C:\WINDOWS\system32\ntos.exe.000 olarak değiştirin(yani . 000 ekleyin). Bu değişiklikle virüsü kandırabiliyoruz aksi halde hemen kendini yeniliyor.
5- bilgisayarı kapatıp normal modda açın.
6-hiç bir şey çalıştırmadan C:\WINDOWS\system32\ntos.exe dosyasını bulup silin.
7- register kayıtlarını (2 adımda oldugu gibi) açıp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] içinde bulunan “userinit” anahtarının C:\WINDOWS\system32\userinit.exe, olacak ÅŸekilde devamını silin(dikkat , kalacak)
8-şu anda işlem tamam. virüsten kurtulduk . ama yine bulaşma ihtimaline karşı önlem alalım
9-bilgisayarım C:\WINDOWS\system32\ klaösrüne gidin. gizli dosyaları ve bilinen dosya uzantıların gözükmesini sağlayın(bakınız klasör seçenekleri)
10-C:\WINDOW\Ssystem32\ klasöründe boş bir yerde sağ tıklayıp yeni metin belgesi oluşturun.
“yeni metin belgesi.txt” ÅŸeklinde oluÅŸacaktır. yeniden adlandır deyip adını ntos.exe yapın. daha sonra bu dosyaya saÄŸ tıklayıp. salt okunur ve gizli seçeneklerini iÅŸaretleyin.
GEÇMİŞ OLSUN. Bu virüsü kapan arkadaşlar Çözümün işe yarayıp yaramadığı konusunda bilgi yazarsanız sevinirim.
edt: daha fazla ayrıntı için 

Symantec tarafından yapılan açıklama için tıklayın:

http://www.symantec.com/security_response/writeup.jsp?docid=2007-040208-5335-99&tabid=3