Через некоторое время(небольшое) после загрузки,Nod сообщает, что обнаружен win32/agent.nhd.exe в dll-ке при доступе к ней totour.exe. Название DLL всё время разное. Слетают настройки сети. Если опять всё прописать вручную, то локалка появляется, интернет-нет. В autoruns в разделе winsock появляются записи с этой dll. Файл соответственно не found. Если убрать галочки, то после перезагрузки инет появляется и существует несколько секунд, до тех пор, пока Nod не прибивает dll, уже с другим именем. При сканировании ни Nod, ни CureIT, ни AVZ ничего не находят. Логи прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
файлы ntkrnlpa.exe, ntoskrnl.exe патчены - Trojan.Win32.Patched.au
1)Их нужно заменить,для этого вам и понадобиться дистрибутив с windows XP.
Заменить можно следующим образом
Пуск--выполнить--cmd
expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp
и так же заменяем
expand x:\i386\ntkrnlpa.ex_ y:\windows\system32\ntkrnlpa.exe
2)С помощью AVZ делаем поиск файла eqolfgywkvc.dll(как это сделать можно узнать из моей подписи)
если найдётся то поместить в карантин с помощью AVZ и отправить по правилам.
Уточнение к вышесказанному:
1. Отключите восстановление системы!
2. Скорее всего, указанные команды придется выполнять не в cmd а в консоли восстановления.
3. По окончании процедур обновите базы AVZ и сделайте новые логи.
Файлы подменил. Сообщение исчезло, сеть не пропадает. В логах есть totour.exe в system32, но судя по тому,что он беззащитно валяется в папке, а не удаляется Explorerом, он не активен и его можно удалить даже руками. Eqolfgywkvc.dll искать бесполезно - это та самая dll, которая при каждой загрузке меняет имя и убивается Нодом. Выдрал из карантина Нода - название другое, но смысл тот-же, заархивировал AVZ, высылаю на всякий случай. Логи тоже.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: