"Глючит" Explore.exe...

Здравствуйте! Суть проблемы заключается в том, что приложение explorer.exe ведет себя крайне странно, а имено "кушает" память от 18000 до 55000 КБ (в таск менеджере смотрел), затем переодически циклично перезагружается (на 1 - 3 сек исчезает весь рабочий стол, остаётся лишь фон с последующей загрузкой в исходное положение), [B]но[/B] самое противное, из-за этого гнусного эксплорера почему-то падает IE, а вместе с ним и моё VPN-соединение, причем при повторном коннекте в впн соединении выдается ошибка, пока вручную не перезагрузишь explorer.exe, чудеса да и только! :?

У меня стоит Panda Platinum 7.07.01 со свежими базами, она ничего не находит))
Также установлен Ad-Aware SE Professional 1.06e, но он каждый раз отыскивает одни и те же незначительные угрозы)))
На всякий случай сделал проверку прогой SDFix, она помойму что-то нашла (поэтому прикрепляю от неё репорт, может поможет Report.txt)
И, наконец, проверил подозрительный файл C:\cp1467.nls на сайте касперского, там мне вадал их сканер, что [COLOR=#ff0000][B]cp1467.nls - инфицирован [/B][/COLOR][URL="http://www.viruslist.com/ru/find?words=SpamTool.Win32.Agent.u"][COLOR=#005447][B]SpamTool.Win32.Agent.u[/B][/COLOR][/URL] может всё из-за него?
Еще забыл сказать, что трафик тоже как то непонятно себя ведет - сижу на одной странице, а он все растет и растет (в обоих направлениях)
Кароче ппц какой-то...>:( Помогите пожалуйста, а то систему не охота грохать! :'-(

1. Скачайте [url]http://www.cexx.org/lspfix.htm[/url]
если после 2-х скриптов интернет не восстановится, то запустите.
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('System32\Drivers\GEARAspiWDM.sys','');
QuarantineFile('\SystemRoot\SYSTEM32\Drivers\wg3n.sys','');
QuarantineFile('NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\gearsec.exe','');
QuarantineFile('C:\WINDOWS\system32\ogzjbepxjsnds.dll','');
QuarantineFile('C:\PROGRA~1\hkSFV\hkshlex.dll','');
QuarantineFile('c:\cp1041.nls','');
DeleteFile('C:\WINDOWS\system32\ogzjbepxjsnds.dll');
BC_DeleteFile('C:\WINDOWS\system32\ogzjbepxjsnds.dll');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
2. Система перезагрузится. Может пропасть интернет. Если пропадет выполните скрипт:
[code]begin
ExecuteRepair(14);
RebootWindows(true);
end.[/code]

Система перезагрузится. Eсли интет не появиться , то выполните скрипт:
[code]begin
ExecuteRepair(15);
RebootWindows(true);
end.[/code]
3. Отправьте карантин по правилам.

Результат загрузки
Файл сохранён как 070418_200808_virus_4626426875a46.zip
Размер файла 1142538

Еще такой вопрос, не может ли это быть конфликт exploera и недавно установленного мною MS Office 2007 или XP плохо работает с IE 7.0.5730.11?

SpamTool.Win32.Agent.u
Trojan.Win32.Agent.afg
Trojan-Proxy.Win32.Dlena.cn

По касперскому

выполните скрипт:

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('NDIS.sys');
DeleteFile('c:\cp1041.nls');
BC_DeleteFile('c:\cp1041.nls');
BC_DeleteFile('C:\WINDOWS\system32\ogzjbepxjsnds.dll');
BC_DeleteFile('NDIS.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Пришлите новые логи.

Выполнил этот скрипт, затем система ушла на перезагрузку и... синий экран! Причем система не грузилась даже в безопасном режиме! Пришлось загружаться с последней рабочей конфигурации!!!
Сделал проверку avz 4.25 со свежими базами, он опять написал:

Ошибка карантина файла "C:\WINDOWS\system32\drivers\ndis.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ОК
Файл "C:\WINDOWS\system32\drivers\ndis.sys" успешно помещен в карантин
>>>Для удаления файла C:\WINDOWS\system32\drivers\ndis.sys необходима перезагрузка
C:\WINDOWS\system32\drivers\ndis.sys >>>>> SpamTool.Win32.Agent.u ошибка удаления
C:\WINDOWS\system32\drivers\ndis.sys Cannot open file "C:\WINDOWS\system32\drivers\ndis.sys". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом

Вообщем, я так понимаю что проблема с файлом ndis.sys, но после вышеуказанного скрипта система не грузиться (синий экран). Подскажите пожалуйста, как правильно удалить и заменить зараженный ndis.sys на незараженный? :embarasse

Файл сохранён как 070424_012743_virus_462d24cfab322.zip
Размер файла 197509
MD5 f8bd24b2aaf46575c33db35d1583ce7a

На всякий случай шлю вам содержание карантина (C:\avz4\Infected)

1. Скачайте утилиту Winsocksxpfix:
[url]http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml[/url]
2. Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('NDIS');
DelSPIByFileName('qkbxgal.dll',true);
AutofixSPI;
BC_DeleteSvc('NDIS');
BC_DeleteFile('C:\WINDOWS\system32\qkbxgal.dll');
BC_DeleteFile('c:\cp1041.nls');
BC_Activate;
RebootWindows(true);
end.[/code]
IMHO, так должно удалиться корректно. Система перезагрузится.
Если пропадет интернет - используйте скачанную утилиту.

Скрипт выполнил, но увы, всё по новой (BSOD с ошибкой NDIS.SYS). Пришлось опять выбирать опцию: "Восстановить последнюю рабочюю конфигурацию". Кто-нибудь подскажите пожалуйста, как вручную удалить этот NDIS.SYS и поменять его на незараженный, чтобы работала сеть и инет!

Попробуйте удалить через Сервис - Диспетчер служб и драйверов - Сервисы (по анализу реестра). Эта операция выпишет файл из реестра, не удаляя сам файл. Если не получится - сделайте в безопасном режиме.

Не обнаруживает этот процесс по анализу реестра!
NDIS.SYS обнаруживает только по данным API:
Служба: NDIS
Описание: Системный драйвер NDIS
Статус: Работает
Файл: NDIS.sys
Группа: NDIS Wrapper

Я понял ошибку: удалять ndis.sys совсем нельзя, т.к. это необходимый системный драйвер, но он подменен вирусом. Похоже выход только один - загрузиться с Live CD либо воспользоваться консолью восстановления и заменить файл c:\windows\system32\drivers\ndis.sys из дистрибутива Windows + удалить все 'c:\cp####.nls'. После этого сделать новые логи для зачистки того, что останется.

Загрузился с Live CD, потом удалил вручную этот NDIS.sys и заменил его на "родной" с дистрибутива. Теперь вроде всё впорядке, т.е. новые файлы cp####.nls больше не регенирируются. Шлю вам новые логи. Всем, кто пытался мне помочь, выражаю [U]благодарность и уважение![/U] ;)

Как минимум, один зловред еще остался. Выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\uxnojrcdjep.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите файлы карантина по правилам.
Вот это можно пофиксить (как фиксить О23, см. [URL="http://virusinfo.info/showthread.php?t=4491"]FAQ[/URL]):
[code]
O2 - BHO: VMNTOOLBAR - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O3 - Toolbar: VMNTOOLBAR - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: odtemdt2 - C:\WINDOWS\
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
[/code]
Две последних - кряк XP SP1, у вас не работает, т.к. SP2.
Остальное - просто "мусор".

Выполнил скрипт, пофиксил строки и прислал карантин по правилам.

Файл сохранён как 070503_192412_virus_4639fe9cbad7e.zip
Размер файла 920966
MD5 28fdd882560ca83c6c240f693b8b6a22

троянская программа ( лаб K ) Trojan.Win32.Agent.afg Файл: uxnojrcdjep.dll
winlogon.exe - [url]http://www.virustotal.com/vt/en/resultadox?7cfe3989896683fbc30a6604bbb0b378[/url]
Только один его знает, ждём ответа от лаб касперского.

Пришёл ответ от касперского :

[code]
Hello,

avz00001.dta, bcqr00001.dat, bcqr00002.dat - Trojan.Win32.Agent.afg

These files are already detected. Please update your antivirus bases.

avz00002.dta, bcqr00003.dat, bcqr00004.dat

No malicious code were found in these files.
[/code]
Winlogon- оказался чистым .

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelSPIByFileName('uxnojrcdjep.dll',true);
BC_DeleteFile('C:\WINDOWS\system32\uxnojrcdjep.dll ');
BC_Activate;
AutoFixSPI;
RebootWindows(true);
end.
[/code]

Система перезагрузится. Возможно, нарушится связь с интернетом, тогда используйте утилиту Winsocksxpfix, которую вы уже скачивали.
Повторите логи п.10 и 12 правил.

Скрипт выполнил, потом пофиксил соединение с интернетом с помощью winsockfix. Высылаю запрашиваемые логи. ;)

Теперь все в порядке.

Мне вот интересно откуда у вас это :
C:\WINDOWS\system32\drivers\wpsdrvnt.sys . судя по имени это от файрвола Sygate .Посмотрите свойства этого файла и сообщите нам.

[COLOR="Teal"] Респект и уважуха вам [COLOR="Red"][B]Bratez[/B][/COLOR], поздравляю с [U]600 постом![/U][/COLOR] ;)

Описание: wpsdrvnt
Производитель: Sygate Technologies, Inc.
Версия файла: 1.0.0.17
Создан: 21 марта 2006 г., 22:31:35
Размер: 18 Кб

[U]Также в свойствах wpsdrvnt.sys указано:[/U]
Тип файла: Системный файл
Приложение: Неизвестное приложение

Странно, окуда у меня этот файл, если никаких фаерволов на компьютере не установлено ?!!

Я сейчас погуглил , это от файрвола панды (Можете посмотреть та же дата и час создания )У них договор наверное был. А вы говорите нет файрвола ;)
c:\program files\panda software\panda antivirus platinum\[B]firewall[/B]\pavfires.exe

А точно, забыл совсем, что в панде есть свой встроенный фаервол :> Больше не пугайте меня так....:P :good:

Пугаться немного полезно, видите - сразу вспомнили что есть файрвол =)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]59[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\cp1041.nls - [B]Trojan-Proxy.Win32.Pixoliz.jx[/B] (DrWEB: Trojan.Spambot)[*] c:\\sdfix\\backups\\backups.zip - [B]Trojan.Win32.Patched.aj[/B] (DrWEB: archive: Win32.HLLM.Bid)[*] c:\\windows\\system32\\drivers\\ndis.sys - [B]Trojan.Win32.Patched.aj[/B] (DrWEB: Trojan.Spambot.2380)[*] c:\\windows\\system32\\ogzjbepxjsnds.dll - [B]Trojan.Win32.Msnetax.b[/B] (DrWEB: Trojan.Vqten)[*] c:\\windows\\system32\\uxnojrcdjep.dll - [B]Trojan.Win32.Msnetax.l[/B] (DrWEB: Trojan.Vqten)[/LIST][/LIST]