Показано с 1 по 6 из 6.

Зараза: runtime2.sys ip6fw.sys (заявка № 11323)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68

    Thumbs up Зараза: runtime2.sys ip6fw.sys

    Знаю, эти вири уже пробегали не раз, но вот не могу убить и все, уже кучу постов перечитал и описания и все равно.

    Прошел машинку DR.WEB CureIT!, NOD32, Trojan remover и AVZ напоследок.
    NOD на оба файла ругается
    ip6fw.sys - Rootkit.Agent.DP
    runtime2.sys - Backdoor.Haxdoor
    еще есть runtime.sys
    и проскакивает периодически temp\startdrv.exe
    файлы постоянно восстанавливаются, как и ссылки в реестре.

    короче говоря, логи прикрепляю, как положено.

    Очень-очень жду помощи, и заранее СПАСИБО!!

    П.с. восстановление системы додумался отключить еще папки мочкану в system volume information перед выполнением ваших советов. жду дальше!
    Последний раз редактировалось antivor; 01.06.2008 в 21:24.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Отключите восстановление системы иначе лечение будет бесполезным!

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
     QuarantineFile('C:\DOCUME~1\user0\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\DOCUME~1\user0\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\itunesff.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('Ip6Fw');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11323

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    поищите файл internt.exe при помощи AVZ,если найдётся,поместите его в карантин и пришлите по правилам,после чего удалите.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68
    Большое спасибо!!
    Кажется, система пришла в норму.

    Карантин отправил.

    Вкладываю логи новые на всякий случай. А так вроде все чисто.

    Очень порадовала оперативность и квалифицированность помощи, спасибо хелперам вобще и Muzzle в частности!
    Последний раз редактировалось antivor; 01.06.2008 в 21:24.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах ничего вредного не замечено...
    Вы можете нас отблагодарить, http://www.virusinfo.info/showthread.php?t=3519 будем Вам очень благодарны!

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Желательно отключить лишние сервисы:
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe


    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru


    Удачи!

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    68
    директора сложно будет посадить на альтернативный браузер да еще с ограниченными правами
    но будем бороться за чистоту рядов!

    За совет по поводу служб - спасибо, очень дельно!
    а фалики с компа соберу вечерком

  • Уважаемый(ая) antivor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 31
      Последнее сообщение: 22.02.2009, 02:43
    2. Ответов: 14
      Последнее сообщение: 22.02.2009, 02:21
    3. проблема с ip6fw.sys, runtime2.sys и IEXPLORE.EXE
      От grad_19 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:15
    4. ip6fw.sys | runtime.sys | runtime2.sy_
      От eizu в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:55
    5. runtime2.sys и ip6fw.sys
      От BarsukovAV в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.07.2007, 18:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00099 seconds with 19 queries