Показано с 1 по 6 из 6.

Зараза: runtime2.sys ip6fw.sys (заявка № 11323)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    42

    Thumbs up Зараза: runtime2.sys ip6fw.sys

    Знаю, эти вири уже пробегали не раз, но вот не могу убить и все, уже кучу постов перечитал и описания и все равно.

    Прошел машинку DR.WEB CureIT!, NOD32, Trojan remover и AVZ напоследок.
    NOD на оба файла ругается
    ip6fw.sys - Rootkit.Agent.DP
    runtime2.sys - Backdoor.Haxdoor
    еще есть runtime.sys
    и проскакивает периодически temp\startdrv.exe
    файлы постоянно восстанавливаются, как и ссылки в реестре.

    короче говоря, логи прикрепляю, как положено.

    Очень-очень жду помощи, и заранее СПАСИБО!!

    П.с. восстановление системы додумался отключить еще папки мочкану в system volume information перед выполнением ваших советов. жду дальше!
    Последний раз редактировалось antivor; 01.06.2008 в 21:24.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Отключите восстановление системы иначе лечение будет бесполезным!

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
     QuarantineFile('C:\DOCUME~1\user0\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\DOCUME~1\user0\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\itunesff.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('Ip6Fw');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11323

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    поищите файл internt.exe при помощи AVZ,если найдётся,поместите его в карантин и пришлите по правилам,после чего удалите.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    42
    Большое спасибо!!
    Кажется, система пришла в норму.

    Карантин отправил.

    Вкладываю логи новые на всякий случай. А так вроде все чисто.

    Очень порадовала оперативность и квалифицированность помощи, спасибо хелперам вобще и Muzzle в частности!
    Последний раз редактировалось antivor; 01.06.2008 в 21:24.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах ничего вредного не замечено...
    Вы можете нас отблагодарить, http://www.virusinfo.info/showthread.php?t=3519 будем Вам очень благодарны!

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Желательно отключить лишние сервисы:
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe


    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru


    Удачи!

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    42
    директора сложно будет посадить на альтернативный браузер да еще с ограниченными правами
    но будем бороться за чистоту рядов!

    За совет по поводу служб - спасибо, очень дельно!
    а фалики с компа соберу вечерком

  • Уважаемый(ая) antivor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 31
      Последнее сообщение: 22.02.2009, 02:43
    2. Ответов: 14
      Последнее сообщение: 22.02.2009, 02:21
    3. проблема с ip6fw.sys, runtime2.sys и IEXPLORE.EXE
      От grad_19 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:15
    4. ip6fw.sys | runtime.sys | runtime2.sy_
      От eizu в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:55
    5. runtime2.sys и ip6fw.sys
      От BarsukovAV в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.07.2007, 18:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00076 seconds with 21 queries