NOD32 ругается на ws2_32.dll (модифицированный Win32/Patched.P)
Здравствуйте!
Хочу поделиться своей проблемой и надеюсь на Вашу помощь в ее решении.
Некоторое время назад NOD32 начал ругаться на ws2_32.dll, мол содержит "модифицированный Win32/Patched.P". Лечение данного файла невоможно (опция в антивирусе неактивна). Его удаление приводит к неработоспособности системы (попробовал, восстановил копию из dllcache). Какой-либо вирусной активности не заметил, трафик не убегает, подозрительного ничего в системе практически не происходит (Не очень понятно, почему некоторые порты LISTENING при закрытых процессах, но это может мое непонимание...), но сообщение каждый день вылезает и ничего не помогает.
Еще происходит некоторая странность с Интернет-браузерами и программами, испольующие их движки (WebMoney, например): Opera периодически закрывается с причиной: "Ошибка приложения opera.exe, версия 9.50.10063.0, модуль ws2_32.dll, версия 5.1.2600.5503, адрес 0x00017883."; IE периодически закрывается с причиной: "Ошибка приложения iexplore.exe, версия 6.0.2900.5503, модуль urlmon.dll, версия 6.0.2900.5503, адрес 0x0003b840."
Необходимые логи прилагаются.
Просьба помочь в решение проблемы, спасибо!
P.S. fstarforce - для обхода старфорс защиты, уж извините:(
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\WS2_32.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\npTVUAx.dll','');
QuarantineFile('C:\Documents and Settings\Smile\Local Settings\Temp\iokinjm.dll','');
QuarantineFile('C:\Downloads\keygens.rar','');
DeleteFile('C:\Documents and Settings\Smile\Local Settings\Temp\iokinjm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Выполнено. Трастед зоны отключил, хотя там ничего вредоносного нет.
Да, в карантин прислал два файла: один файл virusinfo_cure.zip, из папки "LOG", второй - архив папки "Infected" после последней проверки (пароль на архив - virus).
Спасибо.
Спасибо.
Но к сожалению, нет дистрибьютива, нет DVD-ROM'ов, восстановить не откуда. (в dllcache тоже вирусная версия). Может быть, подскажите, где взять чистую версию ws2_32.dll версии 5.1.2600.5503 (XP SP3)?
Добавлено через 1 час 7 минут
Добавлю:
После проверки был обнаружен C:\WINDOWS\system32\kcsetu.dll - Win32/Spy.Agent.NLZ троянская программа, удален NOD32 в ходе проверки. Ну и зараженный ws2_32.dll в количестве трех экзмепляров: 1. %systemroot%\system32; 2. dllcache, 3. оперативная память.
Последний раз редактировалось Smile286; 25.04.2009 в 13:24.
Причина: Добавлено
ws2_32.dll удаляться, перемещаться etc не захотел, пришлось резать под наркозом. (MSDOS) :-)
Заменил на присланный Вами файл, хотя он более новой версии, ну и хорошо.
NOD32 при проверке обнаружил только зараженный ws2_32.dll в dllcache. Как поступать с этим файлом?
Присылаю карантин. Судя по размеру - все в порядке.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: