Тормозит комп. AVZ находит странные файлы. Что делать?

[vvvvvvvvvv1972]

Тормозит комп.Плодятся странные файлы - exel-евские таблицы только с другими расширениями появляются в той же папке - где сама таблица - уже штук 7 появилось. Названия типа "имя.xls~RF296ea0e.TMP" и подобные. AVZ находит странные файлы. Что делать? Посмотрите пожалуйста. Логи прикрепляю.

[V_Bond]

VirtualNetwork - деисталировать это зловред ...
Пофиксите

Код:

O4 - HKLM\..\Run: [D_V_T] C:\\dvt.exe /S \C:\\d_v_t.reg\

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\viktoria\Рабочий стол\undernet.exe');
 TerminateProcessByName('c:\temp\rarsfx2\_start.exe');
 DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
 QuarantineFile('C:\WINDOWS\system32\baserxmj32.dll','');
 QuarantineFile('C:\\dvt.exe','');
 QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
 QuarantineFile('C:\WINDOWS\Marsu-Fix Uninstaller.exe.bak','');
 QuarantineFile('C:\dvt.exe.bak','');
 QuarantineFile('c:\documents and settings\viktoria\Рабочий стол\undernet.exe','');
 QuarantineFile('c:\temp\rarsfx2\_start.exe','');
 DeleteFile('c:\temp\rarsfx2\_start.exe');
 DeleteFile('c:\documents and settings\viktoria\Рабочий стол\undernet.exe');
 DeleteFile('C:\dvt.exe.bak');
 DeleteFile('C:\WINDOWS\Marsu-Fix Uninstaller.exe.bak');
 DeleteFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll');
 DeleteFile('C:\\dvt.exe');
 DeleteFile('c:\documents and settings\viktoria\Рабочий стол\undernet.exe');
 DeleteFile('C:\WINDOWS\system32\baserxmj32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

[vvvvvvvvvv1972]

Спасибо сделаю. Только програмка undernet.exe - это программа доступа в Интернет - установили поставщики интернет услуг. У меня локальная сеть. Может исчезнуть и интернет в том числе.

[PavelA]

dvt.exe - ломалка Нод32 скорее всего. Так что его лучше не трогать.

Виктория! Почему у Вас еще и Куре-ит болтается? Он д.б. завершен к моменту начала производства логов AVZ.

[vvvvvvvvvv1972]

Из скрипта я удалила все строчки связанные с программой undernet. Все выполнила сейчас вышлю новые логи.

[vvvvvvvvvv1972]

Разъясните что это такое???? Уменя при сканировании выделено красным цветом.

Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100A7812]
>>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100A783E]
>>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[100A74FA]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100A74CE]
>>> Код руткита в функции SetWindowPos нейтрализован


Функция NtAssignProcessToJobObject (13) перехвачена (805A4567->EFB97C40), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtClose (19) перехвачена (805675D9->EFB831F0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (1F) перехвачена (80598C34->EFB9988C), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (25) перехвачена (8057164C->EFB7DCD0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8056F063->EFB89D30), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePagingFile (2D) перехвачена (805BD9D8->F84EEB00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcess (2F) перехвачена (805B3543->EFB93290), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateProcessEx (30) перехвачена (805885D3->EFB93AF0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSection (32) перехвачена (80564B1B->EFB7CE70), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->EFB89AF0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (8057F262->EFB91F00), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteFile (3E) перехвачена (805D8CF7->EFB88980), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (8059D6BD->EFB8B3B0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (80597430->EFB900C0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8056F76A->F84EF5DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F84FB120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtMakeTemporaryObject (69) перехвачена (805A2C6E->EFB89370), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (74) перехвачена (805715E7->EFB81FF0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (805684D5->EFB8ABD0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (8057459E->EFB957F0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (7D) перехвачена (805766CC->EFB7D600), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (80597C0A->EFB94E10), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtProtectVirtualMemory (89) перехвачена (8057494D->EFB98DC0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryDirectoryFile (91) перехвачена (80574DAD->EFB83E00), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8056F473->EFB8BE60), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->EFB8C5D0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C1) перехвачена (8064D892->EFB8D920), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (CC) перехвачена (8064C3B0->EFB8F920), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKey (CF) перехвачена (8064C457->EFB8EA30), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKeyEx (D0) перехвачена (8064C4EF->EFB8F1A0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSecureConnectPort (D2) перехвачена (80585D7D->EFB9A20C), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (D5) перехвачена (8062C85B->EFB97420), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationFile (E0) перехвачена (80579E7E->EFB84FA0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemPowerState (F1) перехвачена (8066608F->F84FA550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80575527->EFB8CD70), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (8058AE1E->EFB961E0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (8057E97C->EFB96BA0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (115) перехвачена (8057C123->EFB983B0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован




\driver\tcpip[IRP_MJ_CREATE] = F8007E14 -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = F800814C -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F8007FCE -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_CLEANUP] = F8007F02 -> C:\WINDOWS\system32\DRIVERS\afw.sys




c:\progra~1\agnitum\outpos~1\wl_hook.dll --> Подозрение на Keylogger или троянскую DLL
c:\progra~1\agnitum\outpos~1\wl_hook.dll>>> Поведенческий анализ

[pig]

Я так понимаю, что это антивирус, файрвол и Алкоголь (или Daemon Tools).

[vvvvvvvvvv1972]

А в карантин что-то попалось? Файлы у меня в папках интересным образом размножаются и расширение их меняется. Что-же это?

[pig]

О! Парочку образцов этого саморазмножающегося/изменяющегося пришлите по приложению 3. Похоже на проявления файлового вируса.

[vvvvvvvvvv1972]

Просили прислать файл. Он в приложении.
Так попались ли в карантин вирусы - ответте пожалуйста. А то не очень понятно , что делать.

[PavelA]

Это таблица Экселя,открытая чем-то.Незаконченна обработка ее какой-то программой и поэтому она осталась на диске.
В ней я ничего подозрительного не нашел.

Чем Вы открывали таблицу ОБД.xls?

З.Ы. Замечательный номер моего сообщения: 5555

[Rene-gad]

Чем Вы открывали таблицу ОБД.xls?

Может и Ексцеллем, ИМО кириллические имена файлов не допустимы или ограниченно допустимы (у меня - первое ).

[pig]

Если система и Офис русские, то проблем с русскими именами файлов нет.

Excel по версию 2003 такой фигнёй, как предъявлена, не страдает. При открытии файлов вообще ничего дополнительного не создаётся, при сохранении временно появляются файлы с рандомными именами из восьми символов (по-моему, из набора [0-9A-F]). Попробовал сейчас с OpenOffice - тоже ничего такого не заметил.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\baserxmj32.dll - Trojan.Win32.Obfuscated.aat