Показано с 1 по 11 из 11.

Need help (заявка № 10102)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    35

    Question Need help

    После очередного скана НОДом нашлась такая бяка. Что делать? Обратил внимание на нее, т.к. последние два дня комп стал перегружаться сам по себе. Может ли это всё быть взаимосвязано?

    C:\WINDOWS\system32\drivers\ip6fw.sys - a variant of Win32/Rootkit.Agent.DP trojan

    Спасибо, за совет! )
    Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll','');
     QuarantineFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31130125.exe','');
     QuarantineFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31119359.exe','');
     QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
     QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys','');
     DeleteFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31119359.exe');
     DeleteFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31130125.exe');
     DeleteFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.');
     DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     DeleteFile('C:\WINDOWS\system32\swmclip.dll');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31119359.exe
    O4 - HKCU\..\Run: [WinInit] "C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31130125.exe " 
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\538B~1\LOCALS~1\Temp\winlogon.exe
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
    O21 - SSODL: VStorage - {16EF334C-0775-474C-8F5E-03445E076A93} - swmclip.dll (file missing)
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    После скрипта MaXim'a выполните еще этот скрипт:
    Код:
    begin
     BC_DeleteSvc('Ip6Fw');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
     BC_DeleteSvc('NDnet1');
     BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteSvc('runtime2');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    а потом - новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    35
    Успел пока сделать по своету Максима 1й скрипт с AVZ. Сейчас буду делать остальное, но это очень затруднительно, т.к. комп стал дико тормозить (особенно после перезагрузки). Приходится по несколько раз пождряд перезагружать машину((

  6. #5
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    35

    сделал прописанное

    Прописал все скрипты, профиксил. Что дальше? Или может уже нет никакой заразы? Хотя вчера НОД словил опять пинч. Кстати, можно ли как-то узнать откуда их мне закидывают, а то надоели уже. К тому же не так давно увели аську с неплохим номером, а вчера на форуме сайта Античат нашел свой уин и пас к нему - был фшоке...

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Что дальше?
    Как что, логи новые нужны!
    I am not young enough to know everything...

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Что дальше?
    Карантин прислали?
    Кстати, можно ли как-то узнать откуда их мне закидывают, а то надоели уже.
    Это я у Вас хочу спросить.
    а вчера на форуме сайта Античат нашел свой уин и пас к нему - был фшоке...
    Рано или поздно это должно было случиться. За беспечность приходиться платить...

  9. #8
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    35
    тьху логи сделал, но не так прицепил. исправляюсь. а карантин что-то слишком долго грузит, там окло 5 метров.

  10. #9
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    35
    что-то не получается прицепит логи, пишет какая-то ошибка (

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    пишет какая-то ошибка
    Ну тогда сделайте что-нибудь! (Шютка).

    Какая конкретно ошибка?

  12. #11
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    35
    пишет "ошибка загрузки". и еще, буквально только что заметил - после того как профиксил у меня исчезли с панели задач справа возле часов все кнопки НОД32, Прагма - это так должно было быть?? И из меню кнопок в Ворде тоже исчезла Прагма... Пытаюсь добавить кнопку, но он не видет там Прагму. Хотя через поиск и НОД и прагама (уже установленные, т.е. в предшествующем состоянии) находятся, т.е они не удалялись с компа. Как это разрешить?

  • Уважаемый(ая) punk_prankster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00983 seconds with 19 queries