В общем попал в очень непростую ситуацию...
Примерно неделю назад в процессе проверки компа выявил в папке system32 файл с вирем Trojan.Netqv, удалил его (что получилось оень даже просто) и успокоился...
Однако, через 1 перезагрузку комп вдруг стал очень долго загружаться на стадии "Запуск Виндоуз" (примерно 3-5 минут) и затем перед отображением меню выбора пользователей издал звуковой сигнал. При загрузке пользователя опять произошла задержка, рисунок рабочего стола не загрузился. Более того, в папке "Сетевые подключения" исчезли все подключения, права пользователя были существенно урезаны (нельзя было через AVZ зайти в менеджера процессов и в другие основные системные функции, не стали загружаться файлы Ворда и Эксель. Проверка AVZ не дала никаких результатов.
При выборе в момент загрузки другого пользователя та же картина повторилась. Та же картина проявлялась и при перезагрузке в "Безопасном режиме". Только на другой день каким то случайным образом загрузилась "Восстановление системы" и я смог откатиться на тот момент, когда вирь еще не был удален. После этого все заработало нормально. Я снова попробовал удалить этот вирь (кстати, имя файла с вирем изменилось) и снова попал на те же проблемы . Опять же на следующий день я откатился в "Восстановлении системы" на старую точку, чтобы все снова заработало. Вирь сильно кушает трафик, забивает жесткий диск мусором.
Помогите с ним справиться.
Кстати, когда я неоднократно попытался в AVZ выполнить скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info",однакото AVZ либо зависал либо просто выключался. Так что прилагаю только 2 лога. И еще момент - в корневой директории диска "С" появились 2 файла cd1041.nls и cd1467.nls размером оба по 94 208.
Как я сам думаю, что сам вирь сидит в каком-то системном процессе winlogon, lsass, explorer, svhost либо в каком то еще, а файлы с вирем он генерирует для отслеживания за реакцией пользователей - будут ли бороться с вирем и в случае борьбы включает свой вредоносный механизм.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
enkhnfw.dll Trojan.Win32.Agent.afg.
Программу http://www.tksinc.us/downloads/WinsockXPFix.exe нужно скачать заранее так-как после выполнения лечения интернет может не работать...
профиксить
Код:
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\enkhnfw.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\a rm32.dll (file missing)
O20 - Winlogon Notify: bnreg - C:\Documents and Settings\All Users\Документы\Settings\b n.dll (file missing)
O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\enkhnfw.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
все профиксил, скрипт выполнил, однако выполнить скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" опять не получилосб, AVZ наглухо завис
проблемы с выходом в Инет после выполнения скрипта у меня действительно возникли...
Добавлено через 7 минут
и еще 2 момента:
1)при загрузке системы высвечивается ошибка файервола "ТСР port not found"
2)после зависания AVZ обнаружил что в папке C:\Documents and Settings\Сергей\Local Settings\Temp опять появились файлы типа avz_1964_2.tmp весом более 4 ГБ (такие же файлы у меня были и когда я пытался ранее выполнить этот стандартный скрипт)
Последний раз редактировалось serge_29; 11.08.2007 в 01:20.
Причина: Добавлено
Файл не детектируется антивирусами, но подозрения есть. Отправил в ЛК на анализ, ждем ответа.
Добавлено через 3 часа 39 минут
Пришел ответ - ndis.sys чистый.
Обновите базы AVZ, очистите папку
C:\Documents and Settings\Сергей\Local Settings\Temp
и попробуйте сделать лог лечения/карантина в безопасном режиме,
а также дополнительный лог, как описано здесь: http://virusinfo.info/showthread.php?t=10387
Последний раз редактировалось Bratez; 11.08.2007 в 05:54.
Причина: Добавлено
Выполнил все указанные инструкции. Базы обновить не удалось. АВЗ выдал ошибку "Ошибка загрузки файла с описанием обновления avzupd.zip с http://z-oleg.com/secur/avz.up [21,00002EFD]
Ранее при попытке обновления также была подобная ошибка.
Во-вторых я заметил, что аутпост у меня был переименован в PRODUCT после загрузки и выдачи сообщения "Имя порта ТСР не найдено" находится в трее и не реагирует на команды, однако служба остается загруженной.
Я попытался деинсталлировать Аутлук через Панель управления, но выскочила ошибка деинсталляции "Файл install.log испорчен".
В-третьих, в безопасном режиме при выполнении стандартного скрипта АВЗ опять наглухо завис а в папке Temp опят появились "тяжелые файлы" avz_1264_2.tmp и avz_948_2.tmp весом более 350МБ.
1.AVZPM у меня уже был загружен, но для чистоты эксперимента я его выгрузил, перезагрузился, снова загрузил и снова перезагрузился.
2. Скрипт выполнил
3.Пофиксил.
4. При стандартном скрипте лечения/карантина АВЗ снова плотно подвис, по этому сделал в безопасном режиме доп. логи АВЗ (с логом скрипта №1).
Карантин залил на [получил]
Логи прилагаю.
Проблема не исчезла
Последний раз редактировалось Alex_Goodwin; 11.08.2007 в 14:55.
Все упомянутое в нем скорее всего удалено когда-то раньше, но мало ли... Вдруг что попадет в карантин - пришлите по правилам. Потом попробуйте сделать стандартный скрипт #3. Если опять не пойдет - еще раз "дополнительный лог".
Больше не вижу, к чему придраться... Какие проблемы проявляются кроме невозможности выполнить скрипт #3 - поедание трафика, появление странных файлов, что-то еще?
I am not young enough to know everything...
Уважаемый(ая) serge_29, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: