У меня при включении компьютера сообщение не находит этот файл, посмотрел в C:/ win 20 его нет, и через поис файла не находит,что необходимо делать, кто знает помогите!!!

mosgavrКакой именно файл, укажите пожалуйста.
P.S.Впервые слышу о том как "сообщение файл ищет".

Вот что случилось сегодня.
Пока я занималась большим компом (установила агнитум аутпост 4), в ноутбук проник Троян – трижды Аваст сообщил, что он скрывается здесь: WINDOWS\system32\blowsemu.dll, но не смог его удалить, так "как потерял к нему доступ". Я нашла похожий файл, изменена была одна буква. Ad Aware Se Professional нашел только три кукис.
Между тем, по-моему, этот Троян переименовывает системные файлы виндоуз и размножается, так как, обычно молчаливая, история журнала агавы, сегодня выдает красным цветом следующее:

02.04.2007 15:33:51 Операция начата.
02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\h2r51.tmp (ошибка №-2147023890)
02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\VGX20.tmp (ошибка №-2147023890)
02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\VGX29.tmp (ошибка №-2147023890)
02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\VGX4.tmp (ошибка №-2147023890)
02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\wmv11.tmp (ошибка №-2147023890)
02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\wmv12.tmp (ошибка №-2147023890)
02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\wmv13.tmp (ошибка №-2147023890)
02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\wmv14.tmp (ошибка №-2147023890)
02.04.2007 15:34:01 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\~DF61E1.tmp (ошибка №-2147024864)
02.04.2007 15:34:02 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\~DFA2AA.tmp (ошибка №-2147024864)
02.04.2007 15:34:07 Нет доступа к файлу: C:\WINDOWS\system32\comcsi7.dll (ошибка №-2147023890)
02.04.2007 15:34:15 Нет доступа к файлу: C:\WINDOWS\system32\fdecarew.dll (ошибка №-2147023890)
02.04.2007 15:35:08 Нет доступа к файлу: C:\WINDOWS\system32\pfxzmtforum.dll (ошибка №-2147023890)
02.04.2007 15:35:08 Нет доступа к файлу: C:\WINDOWS\system32\pfxzmtsmt.dll (ошибка №-2147023890)
02.04.2007 15:35:08 Нет доступа к файлу: C:\WINDOWS\system32\pfxzmtsmtspm.dll (ошибка №-2147023890)
02.04.2007 15:35:08 Нет доступа к файлу: C:\WINDOWS\system32\pfxzmtwbmail.dll (ошибка №-2147023890)
02.04.2007 15:35:10 Нет доступа к файлу: C:\WINDOWS\system32\qdviewfe.dll (ошибка №-2147023890)
02.04.2007 15:40:14 Операция завершена.

P.S.Пока писала, два новых файла присоединились к этому списку.

Подскажите, пожалуйста, есть ли повод для беспокойства.

Подскажите, пожалуйста, есть ли повод для беспокойства
Шутить изволите? :)
Смотри, что у тебя болтается в процессах, прибивай трояна, потом чисть автозагрузку и удаляй вражескую DLL.
P.S. Те DLL, что в твоем списке, вовсе не системные, они левые. Они - и есть троян.

А можно подробнее, у меня не запущено никаких процессов :( !

Удалить все файлы DLL?

Винда какая? XP? Жми CTRL-ALT-DEL, там Диспетчер задач -> Процессы.
Все DLL тереть не надо, винда от этого очень сильно расстроится, заболеет и даже умереть может.

А что нужно в процессах делать ?
*ХР

Ну вообще, помотреть, нет ли там чего лишнего - если есть прибить это лишнее, потом стереть с винта и почистить автозагрузку.
Но, поскольку, мои советы тебя явно озадачили, посмотри для начала вот эту тему: Борьба с троянами, шпионскими и рекламными модулями (http://forum.oszone.net/showthread.php?t=10790)

*в процессах большое количество файлов с расширением .ехе
но как определить, что из них завершать ?

perchinka
Для начала, все-таки было бы не плохо уточнить название вируса. как его опознал, например, Аваст.
Потом установить антивирус, например AntiVir или Nod32 со свежими базами.
И если вот они ничего не найдут и не смогут ликвидировать - пытаться искать руками.
Под сомнение должны попадать процессы с "ненормальными" именами (hrbrhack и т.п.) и повышенной прожорливостью (по количеству занимаемой памяти и активным обращениями к процессору).
Так же в ручном поиске неоднократно помогал AVZ.

Аваст больше не выдает сообщение об этом вирусе, - к сожалению, он его пропустил, и потерял в моем компе.
Нод можно скачать в сети? На большом мне установили нод, - два года никаких троянов. А тут такое на третий месяц...

P.S.Я только что нашла в этом разделе, последнем сообщении (автор Erekle) темы "Новый вирус или разновидность Trojan.Goldun?" такую же ситуацию. Посмотрите, пожалуйста, это сообщение http://forum.oszone.net/thread-78431-2.html.
Могу ли я поступить так же, как рекомендовано в ссылке, которую дает автор сообщения. Может, это облегчит мои "действия" по ловле вручную?


скачала AVZ 4. Подскажите, пожалуйста, как его настроить?
:(

Убедитесь, что ваше интернет соединение защищено брандмауэром (хотя бы встроенным), прежде чем выходить в Интернет.

Vadikan, специально убедилась: встроенный брандмауэр включен.

Снесла аваст. Установила триальную версию нод32, pos2man , спасибо за подсказку. Троян Win32/TrojanProxy.Cimuz.NAF удален. Нашла все указанные агавой файлы"dll", нод не видит в них ничего подозрительного, антиспай агнитума (установила) тоже ничего не нашел, программа avz провела лечение.
Но агава продолжает записывать и выделять красным цветом эти файлы в истории журнала.
Есть ли повод для беспокойства в этом случае? (если что не так, могу выложить скриншот процессов Диспетчера задач виндоуз)

P.S. CyberDaemon , спасибо за советы, теперь знаю, что такое "процессы" :).

помнится где-то прочитал: у одного мужичка был ноутбук, после того как он его включал, ноут жил своей жизнью где-то так полчасика, и работать на нем было нельзя. Так вот, он ждал эти полчаса, а потом принимался за работу. Эдакий разогрев перед стартом. =)

специально убедилась: встроенный брандмауэр включен.Ну значит, скорее всего, трояны попадают на ваш компьютер иным путем, а именно - вы их самостоятельно загружаете :)

Самое занятное, что Трояны (как бы я их не "загружала"), в течение двух лет (с последней переустановки WXP, и установкой на нем NOD32) никогда не попадали на мой большой компьютер, - где до сих пор был отключен брандмауэр и не был установлен фаервол.
Так-то, господа насмешники.
(а лучше бы ответили на последний мой вопрос… :) )

perchinkaТак-то, господа насмешники.А никто и не насмехается :) Просто встроенный брандмауэр способен предотвратить проникновение многих распространенных троянов. Но если они попали на машину (а нередко это происходит при участии пользователя: загружены с веб-страниц, из почтовых сообщений, принесены на внешних носителях), встроенный брандмауэр уже не особо поможет пользователю в виду отстутствия интерактивного режима. Выходит что лучше пользоваться встроенным, чем ничем. Троянов по идее должен антивирус уничтожать, а брандмауэр - он просто может прониформировать о подозрительной активности и пресечь ее.
а лучше бы ответили на последний мой вопрос…Какой, про AVZ? Так создайте тему типа "Настройка AVZ" и объясните, что вы хотите сделать и что вам непонятно. Почему все надо обсуждать в одной теме?

P.S.Я только что нашла в этом разделе, последнем сообщении (автор Erekle) темы "Новый вирус или разновидность Trojan.Goldun?" такую же ситуацию.
Ну почему решили, что такая же ситуация? :) У вас было что-нибудь из симптомов того запроса, плюс симптомы "родственных" троянов: стремление explorer.exe к определённым IP по портам 25 и 17001, вырубание системы после инсталляции, блокировка исходящего траффика?
трижды Аваст сообщил, что он скрывается здесь: WINDOWS\system32\blowsemu.dll, но не смог его удалить, так "как потерял к нему доступ". Я нашла похожий файл, изменена была одна буква.
Между тем, по-моему, этот Троян переименовывает системные файлы виндоуз и размножается, так как,
Из этого не надо делать глобальных выводов. :) Что Агава перечисляет, - они не системные файлы, только из-за того, что находятся в этой папке. И что там переименовано?
Для начала, все-таки было бы не плохо уточнить название вируса. как его опознал, например, Аваст.
- плюс - как Агава их величает: что они из себя представляют?

VGX, например, довольно распространенное имя продуктов Sony. WMV - просто Windows Media Video. :)
Главное там dll-ы. Можно, во-первых, отослать их (по одному...) на www.virustotal.com - там комплексная проверка многими антивирусами. Но до того надо просмотреть "свойства" этих файлов (правый клик - "свойства" / Properties). Там может иметься вкладка "версия", а в ней - информация о компании. Вполне может быть, эти файлы (или часть их) от ваших программ.

(Случайно, у вас нет папки WinSecurity в папке Windows?)

По процессам: Process Explorer - http://www.sysinternals.com/Utilities/ProcessExplorer.html - показывает и производителей. Сгруппируйте процессы, - а также Dll-ы по всем процессам - по графе "компания". Что не помечено как принадлежащее Майкрософту и известным вам компаниям (чьи программы у вас установлены), - входит в "группу риска". Дальше надо разбираться (есть многие легальные файлы, которые не имеют вкладки производителя, но определить вредное и безопасное по разным параметрам можно. К примеру, если какой-то dll или exe создан или модифицирован за последние дни, а вы ничего не инсталлировали за этот период, - то они очень подозрительны).

программа avz провела лечение
А именно?
Базы должны быть новыми. В опциях отметить [в "Типы файлов"] "все файлы", [в "Параметры пойска"] эвристический анализ установить на максимуме, включить "расширенный анализ" и "пойск портов UDP/TCP троянских программ". Дальше [в "Области пойска"] поставить галочку на системный диск и нажать "пуск". Лог можно выложить или прикрепить к сообщению.
И непременно провести следующее: сервис > Менеджер автозапуска. Этот лог тоже интересен.

Erekle, точно, слегка померещилось, что проблемы похожи :) .
Не помню, название вируса, по-моему, аваст не упоминал. Закричал только что это Троян, что он его не достает, и указал путь с файлом - dll. Нод установила, тот тоже сам не удалил - вручную избавлялась от …них, как в фильме ужасов: навожу на него, нод его удаляет, а на его месте новый образуется, так раз пять, пока не догадалась перезагрузить компьютер. Но кажется, dll в названии того файла не было.
Обычно вирусы у агавы в виде зеленых или красных жучков, а эти файлы она не считает вирусами, в истории ее журнала они появились сразу же после обнаружения вируса Авастом, и висят там второй день, как не проверенные - "нет доступа". Иногда к этим семи присоединяется один- два других, не dll, иногда висят только эти семь.
Свойства всех этих файлов (в папке Sistem32 есть еще четыре таких же, но с другим окончанием) одинаковые: тип файла:Application Extension; приложение: неизвестное приложение; в графе сводка – пусто. Созданы они в разные дни марта, изменены в разные дни марта, открыты сегодня. Только один из указанных агавой файл весит 161 байт, остальные – 0. (Вес четырех родственников - по161 байт каждый)
Может, и правда, отослать эти файлы по адресу? А может, можно удалить?!?

(Случайно, у вас нет папки WinSecurity в папке Windows?) Есть папка WinSxS – она?

AVZ. Нескольких элементов в моих настройках, видимо, недоставало, в подтверждение тому сейчас, с Вашими, вылетело предупреждение: Внимание! Вы включили режим противодействия перехватчикам уровня ядра (Kerel Mode). Нейтрализация перехватчиков ядра влияет на всю систему и может нарушить работу мониторингового ПО, в частности антивирусов и Faerwall. После нейтрализации перехватчиков необходимо обязательно необходимо обязательно перезагрузить компьютер.
Сканировала три раза. (Происшествие: зашла в файл, запустила автокарантин, когда процесс завершился, вылетело сообщение о чем не помню, но альтернативы не было, - кнопка была одна: "Да". После "Да" – комп сделал глубокий вздох, и … "восстановился после серьезной ошибки"… Не были отключены ни фаервол, ни нод, вероятно, это и было причиной некорректного поведения программы. Надеюсь, ничего страшного не случилось :( )
Прежде чем продолжить работу с avz, спрошу: в графе Методика лечения – нужно что-то включать? Я включала: Hack Tool – лечить, RiskWare – удалять, копировала в карантин (удаляла из карантина).


(офтоп: После заверения, что на большом у меня полный хелп, решила ночью проверить его AVZ-ом, и, вопреки запретам разработчика самостоятельно удалять подозреваемые программой файлы, удалила-таки для профилактики парочку на свою голову (настройки были на эвристику и анализ). Сейчас срочно понадобилось сделать откат на день назад - не получается! Создавать новую тему совестно, что делать не знаю, нужно срочно… :( )

Так... Первое. Сравним:
C:\WINDOWS\system32\

comcsi7.dll
fdecarew.dll
pfxzmtforum.dll
pfxzmtsmt.dll
pfxzmtsmtspm.dll
pfxzmtwbmail.dll
qdviewfe.dll

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_MESPAM.AC&VSect=T

File type: PE
Size of malware: 90,112 Bytes (uncompressed)
Initial samples received on: Mar 12, 2007
Related to: TROJ_DROPPER.CEV
------------------------------------------------------
Payload 1: Intercepts network traffic
Payload 2: Sends email messages
------------------------------------------------------
Details:

This Trojan may arrive on a system as a .DLL file downloaded from the Internet by unsuspecting users.
It may also arrive as a file dropped by other malware, specifically by TROJ_DROPPER.CEV.
This Trojan arrives as RSVP32_2.DLL and is stored in the Windows system folder.

It is then registered as a Layered Service Provider (LSP) every time the network is connected. An LSP is a piece of software that can be inserted into the Windows TCP or IP handler like a link in a chain. The said action makes this Trojan capable of intercepting and logging network traffic before redirecting a target user to an originally desired Web site.

This Trojan attempts to connect to the URL {BLOCKED} sturma.info/zc.php to retrieve message details, which it sends via email.

It saves the gathered message details using any of the following file names:

forum
pfxzmt
sfxzmt
smtspm
uiqzmt
wbmail

Important Windows ME/XP Cleaning Instructions

Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.

Deleting the Malware File(s)

Right-click Start then click Search... or Find..., depending on the version of Windows you are running.
In the Named input box, type:
RSVP32_2.DLL
In the Look In drop-down list, select My Computer, then press Enter.
Once located, select the file then press SHIFT+DELETE.

Надо думать, что RSVP32_2.DLL ещё остаётся на диске, потому что обращение к создаваемым им файлам запрещено.
С запретом/очисткой СистемРесторе не стоит торопиться (при ваших экспериментах с AVZ). Взамен можно поискать в этой папке (или прямо - если она видна, или пойском) DLL-файл размером 90,112 Bytes и удалить.
Только поищите этот файл - пока продолжу.