Здравствуйте! Проблема в следующем, антивирус находит D:\Windows\system32\ip6fw.sys обзывая его Rootkit.Win32.Agent.dp, после удаления и перезагрузки появляется вновь и создает файлы *ld.exe
Здравствуйте! Проблема в следующем, антивирус находит D:\Windows\system32\ip6fw.sys обзывая его Rootkit.Win32.Agent.dp, после удаления и перезагрузки появляется вновь и создает файлы *ld.exe
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\Temp\startdrv.exe',''); DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); ExecuteSysClean; BC_QrSvc('runtime2'); BC_QrSvc('runtime'); BC_QrSvc('Ip6Fw'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('runtime'); BC_DeleteSvc('Ip6Fw'); BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys'); BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_Activate; RebootWindows(true); end.
Сейчас напишу что дальше...
Добавлено через 6 минут
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - AppInit_DLLs: e1.dll confjpg.dll jpgstat.dll confxxn.dll confjfg.dll jfgstat.dll con321.dll
После перезагрузки пришлите весь карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('jpgstat.dll',''); QuarantineFile('jfgstat.dll',''); QuarantineFile('e1.dll',''); QuarantineFile('confxxn.dll',''); QuarantineFile('confjpg.dll',''); QuarantineFile('confjfg.dll',''); QuarantineFile('con321.dll',''); RebootWindows(true); end.
Сделайте новые логи.
Последний раз редактировалось Bratez; 05.07.2007 в 15:06. Причина: Добавлено сообщение
I am not young enough to know everything...
Закачал карантин, сделал логи, *ld.exe ломится в интернет, AVZ по прежнему определяет ip6fw.sys как Rootkit.Win32.Agent.dp .
Повторить скрипт Bratez (первый), см. ниже, в защищенном режиме (Safe Mode).
После него сделать логи в обычном режиме.
Прислать boot_clr.log из директории AVZ.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\Temp\startdrv.exe',''); DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); ExecuteSysClean; BC_QrSvc('runtime2'); BC_QrSvc('runtime'); BC_QrSvc('Ip6Fw'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('runtime'); BC_DeleteSvc('Ip6Fw'); BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys'); BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Приготовить диск с дистрибутивом Виндовс. У Вас зараженный IE.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скрипт повторил в защищенном режиме, выполнился с ошибкой. boot_clr.log не создался.
Не только не удалились, но и пытаются размножаться:
Удалите Process Explorer.D:\WINDOWS\Temp\331176.exe >>> подозрение на Rootkit.Win32.Agent.ey
Выполните скрипт:
После перезагрузки прикрепите boot_clr.log.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\Temp\*.*'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('runtime'); BC_DeleteSvc('Ip6Fw'); BC_DeleteSvc('runtime2'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Удалил Process Explorer, скрипт по-прежнему выполняется с ошибкой '' invalid data type for " '', не перезагружается и не создает boot_clr.log
Так значит он не выполняется совсем! А номер строки/позиции в сообщении об ошибке указан? Напишите полностью текст сообщения. Самый первый скрипт (пост#2) так же вылетал?
Да, с первым скриптом тоже самое, в ошибке ни номера, ничего, только '' invalid data type for " ''
Не знаю, что и думать... Там все правильно. У меня AVZ при проверке синтаксиса пишет "Ошибок нет". Надеюсь, вы правильно делаете? Хотя сделать как-то иначе по-моему сложно
Попробуйте скачать AVZ заново.
I am not young enough to know everything...
Заново поставил AVZ, ситуация не изменилась, при проверке синтаксиса ошибок нет, а при выполнении '' invalid data type for " ''... Причем ошибка в 1 и 3 скрипте, 2-ой выполнился без проблем...
SearchRootkit(true, true); - Вот это в Safe Mode не срабатывает.
Может в этом ошибка.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Попробуйте такой вариант:
Компьютер перезагрузится.Код:begin BC_QrSvc('runtime2'); BC_QrSvc('runtime'); BC_QrSvc('Ip6Fw'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('runtime'); BC_DeleteSvc('Ip6Fw'); BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys'); BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('D:\WINDOWS\Temp\331176.exe'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Если сообщения об ошибке не будет, то:
Прикрепите в тему файл boot_clr.log из папки с AVZ.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
Прислал карантин, сделал логи, прикрепил boot_clr.log (сообщения об ошибке небыло).
эти логи c AVZ ,были сделаны в нормальном режиме ?
Для чего вам драйвер D:\WINDOWS\system32\drivers\oreans32.sys , он обычно зловредами используется в своих целях.
Выполните скрипт в AVZ:
P.S. у вас два виртуальных диска от алкоголя стоят?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
Емул вместе с другими выключаемыми программами, кроме браузера нужно выключать перед выполнением правил.
Последний раз редактировалось drongo; 07.07.2007 в 21:03.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Тогда сохраните копию oreans32.sys, и удалите сам драйвер. Можно использовать отложенное удаление в AVZ.Если что перестанет работать, вернёте.
Я имел ввиду не от чего виртуальный диск, а сколько вы их сделали на своём компе? Объясню, у меня например один виртуальный диск сейчас, поэтому один драйвер в логе авз упоминаеться. У вас их два. Поэтому и спросил.
Насчёт скипта, загрузитесь в безопасном режиме и выполните такой :
Код:begin DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Удалял oreans32.sys в AVZ, случилась ошибка '' invalid data type for ", но файл вроде удалился, виртуальный диск один, а скрипт выполняется с ошибкой '' invalid data type for " (в безопасном режиме).
startdrv.exe по идее удалился еще в #14, так что просто пофиксите:
Больше ничего плохого в логах не видно.Код:O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe
А вот что за ошибка со скриптами, так и не понятно. Там после слова for совсем ничего нет?
I am not young enough to know everything...
Уважаемый(ая) megadeath, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.