-
Junior Member
- Вес репутации
- 62
Need help
После очередного скана НОДом нашлась такая бяка. Что делать? Обратил внимание на нее, т.к. последние два дня комп стал перегружаться сам по себе. Может ли это всё быть взаимосвязано?
C:\WINDOWS\system32\drivers\ip6fw.sys - a variant of Win32/Rootkit.Agent.DP trojan
Спасибо, за совет! )
Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll','');
QuarantineFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31130125.exe','');
QuarantineFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31119359.exe','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
QuarantineFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys','');
DeleteFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31119359.exe');
DeleteFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31130125.exe');
DeleteFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.');
DeleteFile('C:\WINDOWS\system32\rpcc.dll');
DeleteFile('C:\WINDOWS\system32\swmclip.dll');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31119359.exe
O4 - HKCU\..\Run: [WinInit] "C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31130125.exe "
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\538B~1\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O21 - SSODL: VStorage - {16EF334C-0775-474C-8F5E-03445E076A93} - swmclip.dll (file missing)
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
-
-
После скрипта MaXim'a выполните еще этот скрипт:
Код:
begin
BC_DeleteSvc('Ip6Fw');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_DeleteSvc('NDnet1');
BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_DeleteSvc('runtime');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_Activate;
RebootWindows(true);
end.
а потом - новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Успел пока сделать по своету Максима 1й скрипт с AVZ. Сейчас буду делать остальное, но это очень затруднительно, т.к. комп стал дико тормозить (особенно после перезагрузки). Приходится по несколько раз пождряд перезагружать машину((
-
Junior Member
- Вес репутации
- 62
сделал прописанное
Прописал все скрипты, профиксил. Что дальше? Или может уже нет никакой заразы? Хотя вчера НОД словил опять пинч. Кстати, можно ли как-то узнать откуда их мне закидывают, а то надоели уже. К тому же не так давно увели аську с неплохим номером, а вчера на форуме сайта Античат нашел свой уин и пас к нему - был фшоке...
-
Как что, логи новые нужны!
I am not young enough to know everything...
-
-
Карантин прислали?
Кстати, можно ли как-то узнать откуда их мне закидывают, а то надоели уже.
Это я у Вас хочу спросить.
а вчера на форуме сайта Античат нашел свой уин и пас к нему - был фшоке...
Рано или поздно это должно было случиться. За беспечность приходиться платить...
-
-
Junior Member
- Вес репутации
- 62
тьху логи сделал, но не так прицепил. исправляюсь. а карантин что-то слишком долго грузит, там окло 5 метров.
-
Junior Member
- Вес репутации
- 62
что-то не получается прицепит логи, пишет какая-то ошибка (
-
Ну тогда сделайте что-нибудь! (Шютка).
Какая конкретно ошибка?
-
-
Junior Member
- Вес репутации
- 62
пишет "ошибка загрузки". и еще, буквально только что заметил - после того как профиксил у меня исчезли с панели задач справа возле часов все кнопки НОД32, Прагма - это так должно было быть?? И из меню кнопок в Ворде тоже исчезла Прагма... Пытаюсь добавить кнопку, но он не видет там Прагму. Хотя через поиск и НОД и прагама (уже установленные, т.е. в предшествующем состоянии) находятся, т.е они не удалялись с компа. Как это разрешить?