Помогите... страшный вирь

[serge_29]

Здравствуйте!

В общем попал в очень непростую ситуацию...
Примерно неделю назад в процессе проверки компа выявил в папке system32 файл с вирем Trojan.Netqv, удалил его (что получилось оень даже просто) и успокоился...
Однако, через 1 перезагрузку комп вдруг стал очень долго загружаться на стадии "Запуск Виндоуз" (примерно 3-5 минут) и затем перед отображением меню выбора пользователей издал звуковой сигнал. При загрузке пользователя опять произошла задержка, рисунок рабочего стола не загрузился. Более того, в папке "Сетевые подключения" исчезли все подключения, права пользователя были существенно урезаны (нельзя было через AVZ зайти в менеджера процессов и в другие основные системные функции, не стали загружаться файлы Ворда и Эксель. Проверка AVZ не дала никаких результатов.
При выборе в момент загрузки другого пользователя та же картина повторилась. Та же картина проявлялась и при перезагрузке в "Безопасном режиме". Только на другой день каким то случайным образом загрузилась "Восстановление системы" и я смог откатиться на тот момент, когда вирь еще не был удален. После этого все заработало нормально. Я снова попробовал удалить этот вирь (кстати, имя файла с вирем изменилось) и снова попал на те же проблемы . Опять же на следующий день я откатился в "Восстановлении системы" на старую точку, чтобы все снова заработало. Вирь сильно кушает трафик, забивает жесткий диск мусором.
Помогите с ним справиться.
Кстати, когда я неоднократно попытался в AVZ выполнить скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info",однакото AVZ либо зависал либо просто выключался. Так что прилагаю только 2 лога.
И еще момент - в корневой директории диска "С" появились 2 файла cd1041.nls и cd1467.nls размером оба по 94 208.

Как я сам думаю, что сам вирь сидит в каком-то системном процессе winlogon, lsass, explorer, svhost либо в каком то еще, а файлы с вирем он генерирует для отслеживания за реакцией пользователей - будут ли бороться с вирем и в случае борьбы включает свой вредоносный механизм.

[V_Bond]

выполните скрипт

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\enkhnfw.dll','');
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил....
только ничего не удаляйте самостоятельно.... это может привести к краху системы

[serge_29]

скрипт выполнил, карантин загрузил, только вот где видно, что карантин загрузился?

[V_Bond]

да к сожалению у нас проблемы с загрузкой... закачайте на http://zalil.ru/ и дайте ссылку ...

[V_Bond]

enkhnfw.dll Trojan.Win32.Agent.afg.
Программу http://www.tksinc.us/downloads/WinsockXPFix.exe нужно скачать заранее так-как после выполнения лечения интернет может не работать...
профиксить

Код:

O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\a rm32.dll (file missing)
O20 - Winlogon Notify: bnreg - C:\Documents and Settings\All Users\Документы\Settings\b n.dll (file missing)
O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)

выполните скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\enkhnfw.dll');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи ....

[serge_29]

программу по ссылке скачал
зачем она нужна?
фиксить в ней или в HijackThis?

[V_Bond]

фиксить в HijackThis ... ней вы воспользуетесь в случае если возникнут проблемы с выходом в интернет....

[serge_29]

все профиксил, скрипт выполнил, однако выполнить скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" опять не получилосб, AVZ наглухо завис

логи прилагаю

[serge_29]

отдельное спасибо за программу по ссылке

проблемы с выходом в Инет после выполнения скрипта у меня действительно возникли...

Добавлено через 7 минут

и еще 2 момента:
1)при загрузке системы высвечивается ошибка файервола "ТСР port not found"
2)после зависания AVZ обнаружил что в папке C:\Documents and Settings\Сергей\Local Settings\Temp опять появились файлы типа avz_1964_2.tmp весом более 4 ГБ (такие же файлы у меня были и когда я пытался ранее выполнить этот стандартный скрипт)

[Bratez]

Пришлите по правилам файл C:\WINDOWS\system32\drivers\NDIS.sys
(также через slil.ru).

[serge_29]

вот ссылка http://slil.ru/24724770

[Bratez]

Файл не детектируется антивирусами, но подозрения есть. Отправил в ЛК на анализ, ждем ответа.

Добавлено через 3 часа 39 минут

Пришел ответ - ndis.sys чистый.

Обновите базы AVZ, очистите папку
C:\Documents and Settings\Сергей\Local Settings\Temp
и попробуйте сделать лог лечения/карантина в безопасном режиме,
а также дополнительный лог, как описано здесь:
http://virusinfo.info/showthread.php?t=10387

[serge_29]

В общем, все по-порядку.

Выполнил все указанные инструкции. Базы обновить не удалось. АВЗ выдал ошибку "Ошибка загрузки файла с описанием обновления avzupd.zip с http://z-oleg.com/secur/avz.up [21,00002EFD]
Ранее при попытке обновления также была подобная ошибка.

Во-вторых я заметил, что аутпост у меня был переименован в PRODUCT после загрузки и выдачи сообщения "Имя порта ТСР не найдено" находится в трее и не реагирует на команды, однако служба остается загруженной.
Я попытался деинсталлировать Аутлук через Панель управления, но выскочила ошибка деинсталляции "Файл install.log испорчен".

В-третьих, в безопасном режиме при выполнении стандартного скрипта АВЗ опять наглухо завис а в папке Temp опят появились "тяжелые файлы" avz_1264_2.tmp и avz_948_2.tmp весом более 350МБ.

Логи и заархивированный файл проверки прикрепляю

[serge_29]

извиняюсь, дополнительные АВЗ логи были сделаны не в безопасном режиме.

Прикрепляю файлы из Безопасного режима + когда я выполнял стандартные скрипты №1, АВЗ выдал интересную инфомацию (тоже прилагаю лог)

[Alex_Goodwin]

1. Установите AVZPM, перегрузитесь.
2. Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
ExecuteSysClean;
BC_QrFile('C:\WINDOWS\svchost.exe'); 
BC_QrSvc('PowerManager');
BC_DeleteSvc('PowerManager');
BC_DeleteFile('C:\WINDOWS\svchost.exe');
BC_Activate;
RebootWindows(true);
end.

3. Пофиксите:

O2 - BHO: (no name) - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)

4. Карантин по правилам + контрольно все логи заново.
5. Офтоп: Как погода в Архангельске? 100 лет там не был..

[serge_29]

И так, по-порядку.

1.AVZPM у меня уже был загружен, но для чистоты эксперимента я его выгрузил, перезагрузился, снова загрузил и снова перезагрузился.

2. Скрипт выполнил

3.Пофиксил.

4. При стандартном скрипте лечения/карантина АВЗ снова плотно подвис, по этому сделал в безопасном режиме доп. логи АВЗ (с логом скрипта №1).
Карантин залил на [получил]

Логи прилагаю.

Проблема не исчезла

[serge_29]

5. До вчерашнего дня 2 недели стояла жара +25...+30, сегодня похолодало до +12... север все-таки

[Bratez]

Выполните такой скрипт:

Код:

begin
ClearQuarantine;
BC_QrSvc('fwdrv.sys');
BC_QrSvc('poof');
BC_QrSvc('qqd.sys');
BC_QrSvc('wincom32');
BC_QrSvc('windev-36cf-ee3');
BC_DeleteSvc('fwdrv.sys');
BC_DeleteSvc('poof');
BC_DeleteSvc('qqd.sys');
BC_DeleteSvc('wincom32');
BC_DeleteSvc('windev-36cf-ee3');
BC_Activate;
RebootWindows(true);
end.

Все упомянутое в нем скорее всего удалено когда-то раньше, но мало ли... Вдруг что попадет в карантин - пришлите по правилам. Потом попробуйте сделать стандартный скрипт #3. Если опять не пойдет - еще раз "дополнительный лог".

[serge_29]

карантин на http://slil.ru/24725650

АВЗ при выполнении скрипта №3 опять плотно завис и создал в папке Temp файл avz_948_2.tmp размером более 1 ГБ.

Доп. логи АВЗ прилагаю

[Bratez]

Больше не вижу, к чему придраться... Какие проблемы проявляются кроме невозможности выполнить скрипт #3 - поедание трафика, появление странных файлов, что-то еще?