Intenet.exe и Intenet.bat (в папке ...\Local Settings\Temp)

[copsmith]

С Вашего разрешения пока изложу признаки - таким образом.
При подключении vpn и появлении Интернет, в папке временных файлов пользователя вдруг появляется 2 непонятных файла, которых раньше не было. Заметила это не совсем случайно.

Картинка временной папки:



Ехе-шник просился в Интернет, я его заблокировала файеволлом.
Также она держится весь сеанс (до выключения компа) в процессах (если его конечно не убить - тогда убивается и до следующей перезагрузки молчит).

Если не убить, то в момент выключения компа не даёт ему нормально самостоятельно завершить работу, так что появляется такое знакомое окошко:



Дело в том, что накануне вечером вылетела сеть (пропали оба компьютерчика в трее и ОЧИСТИЛАСЬ (!) папка Сетевых подключений (стала пустой, а было там 4 соединения - лок. сеть, vpn, модемное мобильника и модемное просто).

McAfee в это время отметил какую-то NETBIOS SESSION ко мне от другого компа из локальной сети. Не знаю, связаны ли эти события.

И стали НЕ запускаться проги, которые были активны вечером (Opera - теперь каждый день приходится переустанавливать), FreshUI (ей переустановки не помогают, сначала правда она запускается, а через пару часов иконка ярлыка и экзешника превращается в белый квадратик), QIP тоже - каждое утро надо переустанавливать поверх и потом работает только до следуюшей перезагрузки.
Вот только 2 примера:





Проверила эти файлы (Intenet.exe) и (Intenet.bat) в папке ...\Local Settings\Temp

1. На установленном McAfee (свежие сегодняшние базы) - не ругается.
2. Онлайн Каспера тут - http://www.kaspersky.ru/scanforvirus тоже нормально оба файла.
Например окошко результатов проверки первого (который ехе).


Так же нормально и со вторым.

Плюс прогнала комп диск С: докторвэбовской CureIt (вчера же скачанной, правда стоявшей на рабочем столе, не на CD).

Этих файлов в автозагрузке - нет, в system32 - нет, я внимательно проверила. Они появляются только при включении vpn и регистрации компа в сети.

Почему смотрела в этих местах (автозагрузка, system32) - потому что поиск Google даёт много ссылок на вирус intenet.exe (c конца 2006 года, причём в основном на корейско-японо-китайских наречиях), но похоже что это не то... не те проявления.

Мне кажется какая-то прога, увидев поключение к Интернет, запускает эти 2 файла.
Как её вычислить?
Вот скриншоты Process Explorer для процесса Intenet.exe
Это верхнее поле



Следуя советам ещё:
1. Проверила оба файла на сайте Virus Total
Результат по intenet.exe (3 обнаружения из 32-х антивирусов)



2. Результат по intenet.bat - всё чисто по всем 32 антивирусам

С процессами ясности поменьше.

Скачала прогу

Нижняя картинка взята из её "Детальной информации" о процессе "intenet.exe" - в закладке "Файлы":


Пыталась создать вопрос наглядно.

Идти сюда http://virusinfo.info/showthread.php?t=1235
пока не решилась, уж слишком на первый взгляд сложно.
Пока, как промежуточный шаг, создала эту темку с изложением проблемы.
Жду ответа, а то что-то как-то боязно ...
Непонятно что это за зверьки...

[akok]

Иринка, без логов мы безсильны пройдитесь по пунктам и выполните....
Думаю, правила не сложнее, выполненной вами работы....

[copsmith]

Иринка, без логов мы безсильны пройдитесь по пунктам и выполните....
Думаю, правила не сложнее, выполненной вами работы....

Ужжжаасс, так и знала, что скажете
Просто делать скрины и заходить на сайты я УМЕЮ, а то, что описано в Правилах - нет!
Если другого пути нет, то начну собираться с силами и потихоньку идти на приступ...
А вообще похоже на вирус? Внешне? А?

Добавлено через 56 минут

Собралась с силами, совладала со своим страхом и начала делать по Правилам.
И вот.
Там в п.7 написано: "Отключите восстановление системы (Windows Me/XP)"
А ниже в пункте Приложение 1. "Как отключить восстановление системы" для XP написано:
"Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК"."
Зашла в отключение, а там окошко



Из окошка Винды ясно, что точки восстановления отключатся?
Или всё же удалятся?!
Дело в том, что я увидела у себя точку контрольную для всей системы за 17 января. Эта дата ДО начала неприятностей.
Я бы не хотела её потерять, а вдруг понадобится?
Как поступить?

[Bratez]

Удаляйте, не бойтесь!

[copsmith]

Удаляйте, не бойтесь!

Как же не бояться?
А вдруг дело не в вирусах? Тем более почти все антивирусники про intenet.exe - не тревожатся...
А я упущу возможность откатиться...
Минут через 15-20 попробую всё-таки откат ... первый раз в жизнииии
А потом сообщу, если останусь жива...

[Bratez]

Дело хозяйское, конечно. Но либо вы делаете так, как вам советуют, либо вы лечитесь самостоятельно, уж извините .

[copsmith]

Я не могу сама... Иначе бы всё, что выше, не написала и не сделала. И посоветовать некому...
Приступаю к Правилам...

[copsmith]

Прилагаю 3 файла.
Нехорошая красная первая строчка про размер файла .ехе AVZ ...
"Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных"

[copsmith]

Пока жду, перечитала много постов по ключевому слову "файловый вирус" и нашла вот это сообщение (одно из многих) от поругавшего меня Братца (Bratez):
*************************************
"Действительно, похоже на файловый вирус.
Найдите возможность воспользоваться другим компьютером для выхода в интернет, скачайте свежий CureIt, запишите его на CD и на своем компьютере запустите прямо с CD. Сделайте обязательно полную проверку компьютера, вначале в безопасном режиме, потом в обычном.
P.S. Возможно, после этого некоторые программы придется установить заново, если их файлы после лечения окажутся неработоспособными."
*************************************
Завтра в понедельник пойду куда-то искать где скачать и записать CureIt, а пока тихонько жду, а то снова поругают ...

[Bratez]

Браво! Вы делаете успехи Выводы абсолютно правильные.

Маленькое уточнение: CureIt на самом деле является архивом и перед записью на CD его следует распаковать. В полученной папке запускаемым является _start.exe. Если записать нераспакованным, то он будет распаковываться при запуске уже на вашем ПК, и вирус может поразить его в этот момент.
Полезный совет:
перед проверкой очистите временные файлы IE (через Свойства обозревателя), а также папки
C:\Windows\Temp
C:\Documents and Settings\Brass\Local Settings\Temp
(этим вы сэкономите себе время).

Не забудьте, что AVZ и HijackThis вам придется скачать заново.

После проверки CureIt'ом пофиксите в HijackThis:

Код:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)
O4 - S-1-5-18 Startup: ICQ Password Recovery.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ICQ Password Recovery.lnk = ? (User 'Default user')
O4 - Startup: ICQ Password Recovery.lnk = ?
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -

и сделайте снова логи по правилам.

[copsmith]

Понятно, спасибо
А не следует ли мне качать сразу и сразу записать на CD (потому что это на другом конце города 2-х милионника):
-CureIt,
-AVZ и
-HijackThis.
Или после работы CureIt мне (ожидается) ничего уже не грозит? И я смогу безопасно скачать AVZ и HijackThis?

[Bratez]

Конечно лучше скачать и записать все сразу.
Только AVZ и HijackThis перед использованием скопируйте на жесткий,
иначе логи не создадутся.

[copsmith]

ОК, уже договрилась с подружкой о встрече на после обеда, поеду к ней за диском... если конечно справится
Вот как я ей описала, что мне нужно (цитирую для смеху):

Код:

 
А я борюсь с вирусами, которыми меня атаковали по локалке три дня назад, еле живу.
Нужен CD, на который следует записать 3 проги. 
Их надо предварительно скачать с адресов: 
http://z-oleg.com/avz4.zip
(около 5 Мб)
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
(0,3 Мб)
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
(около 8,5 Мб)
Обязательно (!) качать из Инета, потому что в этой ситуации критичны версии программ, которые меняются еженедельно и чаще.
ВАЖНО!
Последнюю прогу, cureit.exe - перед записью НУЖНО обычным путём разархивировать, хотя она вроде внешне и выглядит как исполняемый файл (.ехе). Извлечь из неё папку, внутри которой будет (среди прочих) уже реально исполняемый файл _start.exe.
То есть на диск надо записать в результате:
- всю папку (cureit) со своими файлами,
- архив avz4.zip, 
- архив HiJackThis.zip.
Можно писать конечно в принципе на любой CD, но желательно на ЧИСТЫЙ (новый), так как если ВДРУГ у тебя на компе тоже вирусы, они могут "побить" антивирусные проги до их запуска, а внешне это никак не проявится. 
Я ведь именно поэтому не могу скачать и записать их у себя, хотя сеть пока работает.
Тебе всё понятно?!

[copsmith]

ДокладАю о выполненной работе
Хотя пока всё-равно что-то ... ой-ой-ой с компом, то есть ничего не поменялось...
Периодически, при непонятных обстоятельствах, продолжает ПОЛНОСТЬЮ пропадать всё содержимое папки "Сетевые подключения". После перезагрузки возвращается. Причём смотрю, что и службы все в этот момент остановлены, даже Диспетчер устройств не открывается - пусто.
Так и должно быть?
Итак:
1. Нынешний скан CureIt был выполнен с CD из записанной туда папки, не архива, т.е. как учили
Каких-то существенных записей, среди выявленных CureIt-ом опасносей, я не заметила.
Только какой-то незнакомый файл в кэше Opera со специфическим названием, как у всех файлов в той папке - "oprOP9JX.js", но он удалён. Да ещё .chm файл, удалён.
Остальное - это были патчи, кряки, BitAccelerator (от Letitbit, но Вы наверняка знаете) да одна старая-старая программа-шутка, которая у меня очень давно.
2. Простите, но после завершения всех процессов, долго не отвечала по банальной причине - отсутствия до ЭТОГО момента связи, "благодаря" провайдеру.
3. Пофиксила Hijack-ом указанные строчки (заметила, что во втором логе HiJack, который сейчас отсылаю, этих строчек уже нет, и это приятно).
Строчки про ICQ Password Recovery я убрала из всех 3-х мест, как указали, хотя эту прогу я специально запускала и добавляла в автозапуск. Ну да бог с ней, не сильно и нужна была...
4. Насторожила опасная, не ушедшая, а оставшаяся в логах запись
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
хотя я сканировала новыми файлами AVZ и HijackThis, которые мне дополнительно записали (как Вы и советовали) на CD одновременно со свежей CureIt. Не знаю...

[V_Bond]

avz.exe - пришлите согласно приложения 3 правил ...

[copsmith]

Прочитала "Приложение 3. Как прислать запрошенные файлы."
Там написано:
1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.

Запустила, зашла в Просмотр Карантина, но там из 3-х файлов такого файла нет (вот скрин):



Тогда просто взяла и сама ручками заархивировала avz.exe и прилагаю, правильно? Или как?
Поправьте, если не так, пожалуйста
P.S. Не принял форум у меня этот архив на отправку - размер большой, что делать?



Может на почту Вам послать? Куда, скажите?

P.P.S. Попробовала удалить самые первые вложения, чтоб очистить место дл архива avz.exe, но и это форум не даёт сделать - замкнутый круг, одни препятствия



И через "Нужно запустить программу AVZ, зайти в меню "Сервис" и выбрать пункт "Поиск файла на диске" - тоже сам себя, т.е. свой экзешник в своей папке НЕ находит:

[drongo]

4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенные файлы) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу http://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).

[copsmith]

Сделала!
"Результат загрузки
Файл сохранён как 080130_061031_avz_47a06937d09ee.zip
Размер файла 705102
MD5 f83f71f2936c533df1333043c85a14a9
Файл закачан, спасибо!"
Сделала архивом ZIP и с паролем virus

[V_Bond]

avz.exe - Virus.Win32.Agent.f
скачайте http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool сделайте полную проверку ... повторите логи ...

[copsmith]

Вопросы:
- McAfee своего на период проверки отключать?
- Запуск AVP Tool - просто с жёсткого диска?