что-то осталось...

[megadeath]

Здравствуйте! Проблема в следующем, антивирус находит D:\Windows\system32\ip6fw.sys обзывая его Rootkit.Win32.Agent.dp, после удаления и перезагрузки появляется вновь и создает файлы *ld.exe

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\Temp\startdrv.exe','');
 DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
 ExecuteSysClean;
 BC_QrSvc('runtime2');
 BC_QrSvc('runtime');
 BC_QrSvc('Ip6Fw');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
 BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сейчас напишу что дальше...

Добавлено через 6 минут
Пофиксите в HijackThis:

Код:

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - AppInit_DLLs: e1.dll confjpg.dll jpgstat.dll confxxn.dll confjfg.dll jfgstat.dll con321.dll

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('jpgstat.dll','');
 QuarantineFile('jfgstat.dll','');
 QuarantineFile('e1.dll','');
 QuarantineFile('confxxn.dll','');
 QuarantineFile('confjpg.dll','');
 QuarantineFile('confjfg.dll','');
 QuarantineFile('con321.dll','');
RebootWindows(true);
end.

После перезагрузки пришлите весь карантин согласно приложению 3 правил.

Сделайте новые логи.

[megadeath]

Закачал карантин, сделал логи, *ld.exe ломится в интернет, AVZ по прежнему определяет ip6fw.sys как Rootkit.Win32.Agent.dp .

[PavelA]

Повторить скрипт Bratez (первый), см. ниже, в защищенном режиме (Safe Mode).
После него сделать логи в обычном режиме.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\Temp\startdrv.exe','');
 DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
 ExecuteSysClean;
 BC_QrSvc('runtime2');
 BC_QrSvc('runtime');
 BC_QrSvc('Ip6Fw');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
 BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.

Прислать boot_clr.log из директории AVZ.

Приготовить диск с дистрибутивом Виндовс. У Вас зараженный IE.

[megadeath]

Скрипт повторил в защищенном режиме, выполнился с ошибкой. boot_clr.log не создался.

[Bratez]

Не только не удалились, но и пытаются размножаться:

D:\WINDOWS\Temp\331176.exe >>> подозрение на Rootkit.Win32.Agent.ey

Удалите Process Explorer.

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('D:\WINDOWS\Temp\*.*');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteSvc('runtime2');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки прикрепите boot_clr.log.

[megadeath]

Удалил Process Explorer, скрипт по-прежнему выполняется с ошибкой '' invalid data type for " '', не перезагружается и не создает boot_clr.log

[Bratez]

Так значит он не выполняется совсем! А номер строки/позиции в сообщении об ошибке указан? Напишите полностью текст сообщения. Самый первый скрипт (пост#2) так же вылетал?

[megadeath]

Да, с первым скриптом тоже самое, в ошибке ни номера, ничего, только '' invalid data type for " ''

[Bratez]

Не знаю, что и думать... Там все правильно. У меня AVZ при проверке синтаксиса пишет "Ошибок нет". Надеюсь, вы правильно делаете? Хотя сделать как-то иначе по-моему сложно
Попробуйте скачать AVZ заново.

[megadeath]

Заново поставил AVZ, ситуация не изменилась, при проверке синтаксиса ошибок нет, а при выполнении '' invalid data type for " ''... Причем ошибка в 1 и 3 скрипте, 2-ой выполнился без проблем...

[PavelA]

SearchRootkit(true, true); - Вот это в Safe Mode не срабатывает.
Может в этом ошибка.

[megadeath]

SearchRootkit(true, true); - Вот это в Safe Mode не срабатывает.
Может в этом ошибка.

Тоесть?

[Bratez]

Попробуйте такой вариант:

Код:

begin
 BC_QrSvc('runtime2');
 BC_QrSvc('runtime');
 BC_QrSvc('Ip6Fw');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
 BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('D:\WINDOWS\Temp\331176.exe');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Если сообщения об ошибке не будет, то:
Прикрепите в тему файл boot_clr.log из папки с AVZ.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

[megadeath]

Прислал карантин, сделал логи, прикрепил boot_clr.log (сообщения об ошибке небыло).

[drongo]

эти логи c AVZ ,были сделаны в нормальном режиме ?
Для чего вам драйвер D:\WINDOWS\system32\drivers\oreans32.sys , он обычно зловредами используется в своих целях.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.

P.S. у вас два виртуальных диска от алкоголя стоят?
Емул вместе с другими выключаемыми программами, кроме браузера нужно выключать перед выполнением правил.

[megadeath]

Для чего вам драйвер D:\WINDOWS\system32\drivers\oreans32.sys , он обычно зловредами используется в своих целях.

Без понятия... Логи делал в нормальном режиме, скрипт не выполнился, ошибка '' invalid data type for ", помойму виртуальный диск только от Daemon tools...

[drongo]

Без понятия... Логи делал в нормальном режиме, скрипт не выполнился, ошибка '' invalid data type for ", помойму виртуальный диск только от Daemon tools...

Тогда сохраните копию oreans32.sys, и удалите сам драйвер. Можно использовать отложенное удаление в AVZ.Если что перестанет работать, вернёте.
Я имел ввиду не от чего виртуальный диск, а сколько вы их сделали на своём компе? Объясню, у меня например один виртуальный диск сейчас, поэтому один драйвер в логе авз упоминаеться. У вас их два. Поэтому и спросил.
Насчёт скипта, загрузитесь в безопасном режиме и выполните такой :

Код:

begin
 DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.

[megadeath]

Удалял oreans32.sys в AVZ, случилась ошибка '' invalid data type for ", но файл вроде удалился, виртуальный диск один, а скрипт выполняется с ошибкой '' invalid data type for " (в безопасном режиме).

[Bratez]

startdrv.exe по идее удалился еще в #14, так что просто пофиксите:

Код:

O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe

Больше ничего плохого в логах не видно.
А вот что за ошибка со скриптами, так и не понятно. Там после слова for совсем ничего нет?