ip6fw.sys

[Yurii]

McAfee в файле c:\windows\system32\drivers\ip6fw.sys регулярно находит Generic.RootKit.a. Лечит, но потом находит снова. DrWEB4.33 и KAV7 с последними базами аналогично лечат, но зараза появляется опять.
В связи с тем, что при сканировании AVZ в обычном режиме компьютер перезагружается все логи сделаны в безопасном режиме.

[Макcим]

Сделайте дополнительный лог, как написано здесь.

[Yurii]

Сделал.

[V_Bond]

выполните скрипт

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('\??\C:\fwdrv.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\?????????\Settings\arm32.dll','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
 BC_DeleteSvc('runtime2');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Yurii]

Карантин закачал:
070801_164753_virus_46b080f9f1710.zip

[V_Bond]

C:\WINDOWS\Temp\startdrv.exe Trojan-Downloader.Win32.Agent.brk
C:\WINDOWS\system32\ntos.exe PWS:Win32/Bankrypt.gen
больше ничего в карантин не попало ....
повторите пожалйста логи ....

[Yurii]

В этот раз AVZ отработал в обычном (не в безопасном) режиме. Логи сделаны при работающем McAfee, поскольку он не отключается.

[V_Bond]

профиксите в хайджек

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

выполните скрипт ...

Код:

 
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\fwdrv.sys','');
 QuarantineFile('C:\1\1.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll',''); 
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Yurii]

Скрипт отработал, в карантин попал только файл 1.exe - это новенький HJ, которого я на всякий случай переименовал. Кроме него в карантине пусто.

[V_Bond]

попробуйте через поиск AVZ .... найти fwdrv.sys и arm32.dll и пришлите со ссылкой на тему ... с паролем virus ... особенно интересует второй первый скорее от керио...

[Yurii]

Пусто, AVZ ничего не нашел.

[V_Bond]

пожалуйста повторите логи ....

попробуйте так Мой Компьютер - Сервис - Свойства Папки - Вид -
1 Снять галочку скрывать защищённые системные файлы
2 Отметить показывать скрытые файлы и папки .... может найдется ...

[Yurii]

Искал и в AVZ и в FAR, этих файлов нет.
Новые логи прилагаю.

[V_Bond]

профиксите

Код:

O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\a rm32.dll (file missing)

ну и в качестве подстраховки ...(зловред наверняка уже убит)
1.запустите AVZ
2. AVZGuard-Включить AVZ Guard
3.Сервис-Менеджер автозапуска удалить строку с arm32.dll
4.перезагрузитесь не выходя из AVZ
.... больше проблем не видно ...

[Yurii]

В HJ пофиксил, в Менеджере автозапуска строки с arm32.dll нет.
Наверное все чисто, поскольку раньше компьютер активно общался с инетом, а сейчас все тихо. Благодарю.

[V_Bond]

тогда лечение можем считать завершенным.....
рекомендуем прочитать http://security-advisory.newmail.ru/
Вы можете нас отблагодарить http://www.virusinfo.info/showthread.php?t=3519 ....