-
Intenet.exe и Intenet.bat (в папке ...\Local Settings\Temp)
С Вашего разрешения пока изложу признаки - таким образом.
При подключении vpn и появлении Интернет, в папке временных файлов пользователя вдруг появляется 2 непонятных файла, которых раньше не было. Заметила это не совсем случайно.
Картинка временной папки:
Ехе-шник просился в Интернет, я его заблокировала файеволлом.
Также она держится весь сеанс (до выключения компа) в процессах (если его конечно не убить - тогда убивается и до следующей перезагрузки молчит).
Если не убить, то в момент выключения компа не даёт ему нормально самостоятельно завершить работу, так что появляется такое знакомое окошко:
Дело в том, что накануне вечером вылетела сеть (пропали оба компьютерчика в трее и ОЧИСТИЛАСЬ (!) папка Сетевых подключений (стала пустой, а было там 4 соединения - лок. сеть, vpn, модемное мобильника и модемное просто).
McAfee в это время отметил какую-то NETBIOS SESSION ко мне от другого компа из локальной сети. Не знаю, связаны ли эти события.
И стали НЕ запускаться проги, которые были активны вечером (Opera - теперь каждый день приходится переустанавливать), FreshUI (ей переустановки не помогают, сначала правда она запускается, а через пару часов иконка ярлыка и экзешника превращается в белый квадратик), QIP тоже - каждое утро надо переустанавливать поверх и потом работает только до следуюшей перезагрузки.
Вот только 2 примера:
Проверила эти файлы (Intenet.exe) и (Intenet.bat) в папке ...\Local Settings\Temp
1. На установленном McAfee (свежие сегодняшние базы) - не ругается.
2. Онлайн Каспера тут - http://www.kaspersky.ru/scanforvirus тоже нормально оба файла.
Например окошко результатов проверки первого (который ехе).
Так же нормально и со вторым.
Плюс прогнала комп диск С: докторвэбовской CureIt (вчера же скачанной, правда стоявшей на рабочем столе, не на CD).
Этих файлов в автозагрузке - нет, в system32 - нет, я внимательно проверила. Они появляются только при включении vpn и регистрации компа в сети.
Почему смотрела в этих местах (автозагрузка, system32) - потому что поиск Google даёт много ссылок на вирус intenet.exe (c конца 2006 года, причём в основном на корейско-японо-китайских наречиях), но похоже что это не то... не те проявления.
Мне кажется какая-то прога, увидев поключение к Интернет, запускает эти 2 файла.
Как её вычислить?
Вот скриншоты Process Explorer для процесса Intenet.exe
Это верхнее поле
Следуя советам ещё:
1. Проверила оба файла на сайте Virus Total
Результат по intenet.exe (3 обнаружения из 32-х антивирусов)
2. Результат по intenet.bat - всё чисто по всем 32 антивирусам
С процессами ясности поменьше.
Скачала прогу
Нижняя картинка взята из её "Детальной информации" о процессе "intenet.exe" - в закладке "Файлы":
Пыталась создать вопрос наглядно.
Идти сюда http://virusinfo.info/showthread.php?t=1235
пока не решилась, уж слишком на первый взгляд сложно.
Пока, как промежуточный шаг, создала эту темку с изложением проблемы.
Жду ответа, а то что-то как-то боязно ...
Непонятно что это за зверьки...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Иринка, без логов мы безсильны пройдитесь по пунктам и выполните....
Думаю, правила не сложнее, выполненной вами работы....
Microsoft Most Valuable Professional in Consumer Security
-
Сообщение от
akoK
Иринка, без логов мы безсильны
пройдитесь по пунктам и выполните....
Думаю, правила не сложнее, выполненной вами работы....
Ужжжаасс, так и знала, что скажете
Просто делать скрины и заходить на сайты я УМЕЮ, а то, что описано в Правилах - нет!
Если другого пути нет, то начну собираться с силами и потихоньку идти на приступ...
А вообще похоже на вирус? Внешне? А?
Добавлено через 56 минут
Собралась с силами, совладала со своим страхом и начала делать по Правилам.
И вот.
Там в п.7 написано: "Отключите восстановление системы (Windows Me/XP)"
А ниже в пункте Приложение 1. "Как отключить восстановление системы" для XP написано:
"Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК"."
Зашла в отключение, а там окошко
Из окошка Винды ясно, что точки восстановления отключатся?
Или всё же удалятся?!
Дело в том, что я увидела у себя точку контрольную для всей системы за 17 января. Эта дата ДО начала неприятностей.
Я бы не хотела её потерять, а вдруг понадобится?
Как поступить?
Последний раз редактировалось copsmith; 27.01.2008 в 17:00.
Причина: Добавлено
Иринка-малинка
-
I am not young enough to know everything...
-
-
?
Сообщение от
Bratez
Удаляйте, не бойтесь!
Как же не бояться?
А вдруг дело не в вирусах? Тем более почти все антивирусники про intenet.exe - не тревожатся...
А я упущу возможность откатиться...
Минут через 15-20 попробую всё-таки откат ... первый раз в жизнииии
А потом сообщу, если останусь жива...
-
Дело хозяйское, конечно. Но либо вы делаете так, как вам советуют, либо вы лечитесь самостоятельно, уж извините .
I am not young enough to know everything...
-
-
Я не могу сама... Иначе бы всё, что выше, не написала и не сделала. И посоветовать некому...
Приступаю к Правилам...
-
Родила :)
Прилагаю 3 файла.
Нехорошая красная первая строчка про размер файла .ехе AVZ ...
"Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных"
Последний раз редактировалось Alex_Goodwin; 03.02.2008 в 00:04.
Иринка-малинка
-
Пока жду, перечитала много постов по ключевому слову "файловый вирус" и нашла вот это сообщение (одно из многих) от поругавшего меня Братца (Bratez):
*************************************
"Действительно, похоже на файловый вирус.
Найдите возможность воспользоваться другим компьютером для выхода в интернет, скачайте свежий CureIt, запишите его на CD и на своем компьютере запустите прямо с CD. Сделайте обязательно полную проверку компьютера, вначале в безопасном режиме, потом в обычном.
P.S. Возможно, после этого некоторые программы придется установить заново, если их файлы после лечения окажутся неработоспособными."
*************************************
Завтра в понедельник пойду куда-то искать где скачать и записать CureIt, а пока тихонько жду, а то снова поругают ...
Последний раз редактировалось copsmith; 27.01.2008 в 22:55.
Иринка-малинка
-
Браво! Вы делаете успехи Выводы абсолютно правильные.
Маленькое уточнение: CureIt на самом деле является архивом и перед записью на CD его следует распаковать. В полученной папке запускаемым является _start.exe. Если записать нераспакованным, то он будет распаковываться при запуске уже на вашем ПК, и вирус может поразить его в этот момент.
Полезный совет:
перед проверкой очистите временные файлы IE (через Свойства обозревателя), а также папки
C:\Windows\Temp
C:\Documents and Settings\Brass\Local Settings\Temp
(этим вы сэкономите себе время).
Не забудьте, что AVZ и HijackThis вам придется скачать заново.
После проверки CureIt'ом пофиксите в HijackThis:
Код:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)
O4 - S-1-5-18 Startup: ICQ Password Recovery.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ICQ Password Recovery.lnk = ? (User 'Default user')
O4 - Startup: ICQ Password Recovery.lnk = ?
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -
и сделайте снова логи по правилам.
I am not young enough to know everything...
-
-
Понятно, спасибо
А не следует ли мне качать сразу и сразу записать на CD (потому что это на другом конце города 2-х милионника):
-CureIt,
-AVZ и
-HijackThis.
Или после работы CureIt мне (ожидается) ничего уже не грозит? И я смогу безопасно скачать AVZ и HijackThis?
-
Конечно лучше скачать и записать все сразу.
Только AVZ и HijackThis перед использованием скопируйте на жесткий,
иначе логи не создадутся.
I am not young enough to know everything...
-
-
ОК, уже договрилась с подружкой о встрече на после обеда, поеду к ней за диском... если конечно справится
Вот как я ей описала, что мне нужно (цитирую для смеху):
Код:
А я борюсь с вирусами, которыми меня атаковали по локалке три дня назад, еле живу.
Нужен CD, на который следует записать 3 проги.
Их надо предварительно скачать с адресов:
http://z-oleg.com/avz4.zip
(около 5 Мб)
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
(0,3 Мб)
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
(около 8,5 Мб)
Обязательно (!) качать из Инета, потому что в этой ситуации критичны версии программ, которые меняются еженедельно и чаще.
ВАЖНО!
Последнюю прогу, cureit.exe - перед записью НУЖНО обычным путём разархивировать, хотя она вроде внешне и выглядит как исполняемый файл (.ехе). Извлечь из неё папку, внутри которой будет (среди прочих) уже реально исполняемый файл _start.exe.
То есть на диск надо записать в результате:
- всю папку (cureit) со своими файлами,
- архив avz4.zip,
- архив HiJackThis.zip.
Можно писать конечно в принципе на любой CD, но желательно на ЧИСТЫЙ (новый), так как если ВДРУГ у тебя на компе тоже вирусы, они могут "побить" антивирусные проги до их запуска, а внешне это никак не проявится.
Я ведь именно поэтому не могу скачать и записать их у себя, хотя сеть пока работает.
Тебе всё понятно?!
-
Раньше не могла ответить!
ДокладАю о выполненной работе
Хотя пока всё-равно что-то ... ой-ой-ой с компом, то есть ничего не поменялось...
Периодически, при непонятных обстоятельствах, продолжает ПОЛНОСТЬЮ пропадать всё содержимое папки "Сетевые подключения". После перезагрузки возвращается. Причём смотрю, что и службы все в этот момент остановлены, даже Диспетчер устройств не открывается - пусто.
Так и должно быть?
Итак:
1. Нынешний скан CureIt был выполнен с CD из записанной туда папки, не архива, т.е. как учили
Каких-то существенных записей, среди выявленных CureIt-ом опасносей, я не заметила.
Только какой-то незнакомый файл в кэше Opera со специфическим названием, как у всех файлов в той папке - "oprOP9JX.js", но он удалён. Да ещё .chm файл, удалён.
Остальное - это были патчи, кряки, BitAccelerator (от Letitbit, но Вы наверняка знаете) да одна старая-старая программа-шутка, которая у меня очень давно.
2. Простите, но после завершения всех процессов, долго не отвечала по банальной причине - отсутствия до ЭТОГО момента связи, "благодаря" провайдеру.
3. Пофиксила Hijack-ом указанные строчки (заметила, что во втором логе HiJack, который сейчас отсылаю, этих строчек уже нет, и это приятно).
Строчки про ICQ Password Recovery я убрала из всех 3-х мест, как указали, хотя эту прогу я специально запускала и добавляла в автозапуск. Ну да бог с ней, не сильно и нужна была...
4. Насторожила опасная, не ушедшая, а оставшаяся в логах запись
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
хотя я сканировала новыми файлами AVZ и HijackThis, которые мне дополнительно записали (как Вы и советовали) на CD одновременно со свежей CureIt. Не знаю...
Последний раз редактировалось Alex_Goodwin; 03.02.2008 в 00:05.
Иринка-малинка
-
avz.exe - пришлите согласно приложения 3 правил ...
-
-
Не совсем поняла, не получается
Прочитала "Приложение 3. Как прислать запрошенные файлы."
Там написано:
1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
Запустила, зашла в Просмотр Карантина, но там из 3-х файлов такого файла нет (вот скрин):
Тогда просто взяла и сама ручками заархивировала avz.exe и прилагаю, правильно? Или как?
Поправьте, если не так, пожалуйста
P.S. Не принял форум у меня этот архив на отправку - размер большой, что делать?
Может на почту Вам послать? Куда, скажите?
P.P.S. Попробовала удалить самые первые вложения, чтоб очистить место дл архива avz.exe, но и это форум не даёт сделать - замкнутый круг, одни препятствия
И через "Нужно запустить программу AVZ, зайти в меню "Сервис" и выбрать пункт "Поиск файла на диске" - тоже сам себя, т.е. свой экзешник в своей папке НЕ находит:
Последний раз редактировалось copsmith; 30.01.2008 в 15:06.
Причина: Добавлено
Иринка-малинка
-
4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенные файлы) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу http://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
-
-
Сделала!!!
Сделала!
"Результат загрузки
Файл сохранён как 080130_061031_avz_47a06937d09ee.zip
Размер файла 705102
MD5 f83f71f2936c533df1333043c85a14a9
Файл закачан, спасибо!"
Сделала архивом ZIP и с паролем virus
Последний раз редактировалось copsmith; 30.01.2008 в 15:40.
Иринка-малинка
-
avz.exe - Virus.Win32.Agent.f
скачайте http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool сделайте полную проверку ... повторите логи ...
-
-
Вопросы:
- McAfee своего на период проверки отключать?
- Запуск AVP Tool - просто с жёсткого диска?