Показано с 1 по 11 из 11.

Need help (заявка № 10102)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    127
    Вес репутации
    62

    Question Need help

    После очередного скана НОДом нашлась такая бяка. Что делать? Обратил внимание на нее, т.к. последние два дня комп стал перегружаться сам по себе. Может ли это всё быть взаимосвязано?

    C:\WINDOWS\system32\drivers\ip6fw.sys - a variant of Win32/Rootkit.Agent.DP trojan

    Спасибо, за совет! )
    Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll','');
     QuarantineFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31130125.exe','');
     QuarantineFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31119359.exe','');
     QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
     QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys','');
     DeleteFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31119359.exe');
     DeleteFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31130125.exe');
     DeleteFile('C:\DOCUME~1\538B~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.');
     DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     DeleteFile('C:\WINDOWS\system32\swmclip.dll');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31119359.exe
    O4 - HKCU\..\Run: [WinInit] "C:\DOCUME~1\538B~1\LOCALS~1\Temp\sp31130125.exe " 
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\538B~1\LOCALS~1\Temp\winlogon.exe
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
    O21 - SSODL: VStorage - {16EF334C-0775-474C-8F5E-03445E076A93} - swmclip.dll (file missing)
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    После скрипта MaXim'a выполните еще этот скрипт:
    Код:
    begin
     BC_DeleteSvc('Ip6Fw');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
     BC_DeleteSvc('NDnet1');
     BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteSvc('runtime2');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    а потом - новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    127
    Вес репутации
    62
    Успел пока сделать по своету Максима 1й скрипт с AVZ. Сейчас буду делать остальное, но это очень затруднительно, т.к. комп стал дико тормозить (особенно после перезагрузки). Приходится по несколько раз пождряд перезагружать машину((

  6. #5
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    127
    Вес репутации
    62

    сделал прописанное

    Прописал все скрипты, профиксил. Что дальше? Или может уже нет никакой заразы? Хотя вчера НОД словил опять пинч. Кстати, можно ли как-то узнать откуда их мне закидывают, а то надоели уже. К тому же не так давно увели аську с неплохим номером, а вчера на форуме сайта Античат нашел свой уин и пас к нему - был фшоке...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Что дальше?
    Как что, логи новые нужны!
    I am not young enough to know everything...

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Что дальше?
    Карантин прислали?
    Кстати, можно ли как-то узнать откуда их мне закидывают, а то надоели уже.
    Это я у Вас хочу спросить.
    а вчера на форуме сайта Античат нашел свой уин и пас к нему - был фшоке...
    Рано или поздно это должно было случиться. За беспечность приходиться платить...

  9. #8
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    127
    Вес репутации
    62
    тьху логи сделал, но не так прицепил. исправляюсь. а карантин что-то слишком долго грузит, там окло 5 метров.

  10. #9
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    127
    Вес репутации
    62
    что-то не получается прицепит логи, пишет какая-то ошибка (

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    пишет какая-то ошибка
    Ну тогда сделайте что-нибудь! (Шютка).

    Какая конкретно ошибка?

  12. #11
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    127
    Вес репутации
    62
    пишет "ошибка загрузки". и еще, буквально только что заметил - после того как профиксил у меня исчезли с панели задач справа возле часов все кнопки НОД32, Прагма - это так должно было быть?? И из меню кнопок в Ворде тоже исчезла Прагма... Пытаюсь добавить кнопку, но он не видет там Прагму. Хотя через поиск и НОД и прагама (уже установленные, т.е. в предшествующем состоянии) находятся, т.е они не удалялись с компа. Как это разрешить?

  • Уважаемый(ая) punk_prankster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01514 seconds with 16 queries