Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Troyan.Pandex ip6fw.sys (заявка № 11741)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35

    Thumbs up Troyan.Pandex ip6fw.sys

    Подскажите, пожалуйста, возможно ли избавиться от этого вируса без
    переустановки операционной системы или форматирования диска. Прилагаю последний лог AVZ.

    Описание похожего вируса нашел на сайте Семантек-
    http://www.symantec.com/security_response/writeup.jsp?docid=2007-042001-1448-99&tabid=2, но предложенное там лечение вируса не помогло.

    Пробовал различные антивирусный программы, включая AVZ, но они
    либо пропускают пораженный файлы (ip6fw.sys и др.) либо отправляют
    их в карантин до следующей перезагрузки ОС и подключения к сети.

    Вирусные ключи реестра также восстанавливаются с перезагрузкой,
    несмотря на удаления в Безопасном режиме.

    Большое спасибо за совет.

    С уважением,
    Антон
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Выполните логи как сказано в правилах и мы всё почистим
    http://virusinfo.info/showthread.php?t=1235

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35
    Беда- в течение нескольких секунд после начала исполнения скрипта пункта 8, компьютер перезагружается и начинает Disks Consistency Check. Затем грузит Винд, и выскакивает Оправка отчета об ошибке

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    agafonov74, выполните правила начиная с пункта 10, только перед этим отключите восстановление системы.

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35
    ОТклчючил восстановление, запустил АВЗ со скрптом из пункта 10- скриппт вроде полностью прогнался, но по завешении ноут снова перезагрузился, появилось ОТчет об отправки с ошибкой с описанием:

    BCCode : 1000000a BCP1 : 00000054 BCP2 : 00000002 BCP3 : 00000001
    BCP4 : 804DBC8E OSVer : 5_1_2600 SP : 2_0 Product : 768_1

    папка ЛОГ появилась но файла в ней нет

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Применим тяжелую артиллерию.

    Закройте все программы.
    Отключитесь от Интернета.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил)
    Попробуйте сделать логи еще раз. С логом Hijaсkthis тоже проблемы?
    Последний раз редактировалось AndreyKa; 19.08.2007 в 00:07. Причина: убрал SearchRootkit(true, true);

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35
    Большое спасибо за ответ
    я сумел добыть логи, но в Безопасном режиме, они подойдут или нужно только в обычном режиме ???
    лог пункта 8- в Безоппасном режиме
    лог пункта 10 и хайджек- в Безопасном с подключением сетевых драйверов

    В папке AVZ, кроме 2 архивов и 2 html, появился пустой архив virusinfo_cure размером 1 Кб. Так и должно быть?
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35
    рекомендованный Вами скрипт пока не запускал

    Добавлено через 18 минут

    пробовал рекомендации сайта Симантека ранее, но не помогло, драйвера и реестрового ключа NetDetect не было, только ip6fw.sys, ну и ключ Runtime восстанавливается с каждой перезагрзкой как в CurrentControlSet/Services...., так и в ControlSet001/Services....
    Последний раз редактировалось agafonov74; 18.08.2007 в 23:25. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Логи посмотрел, к сприпту добавить нечего. Выполняйте как есть.

    Цитата Сообщение от agafonov74 Посмотреть сообщение
    появился пустой архив virusinfo_cure размером 1 Кб. Так и должно быть?
    Да.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Логи посмотрел, к сприпту добавить нечего. Выполняйте как есть.
    Скорее всего машина уйдет в бсод после этой строки:

    SearchRootkit(true, true);
    Я бы рекомендовал её убрать.

  12. #11
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35
    скрипт прогнал без строки SearchRootkit(true, true);
    машина перезагрузилась с проверкой дисков на консистенси, после загузки ОС -обычное предложение отправить отчет о восстановлении после ошибки
    затем AVG опять обнаружил 2 файла- эгзешный в Local Settings\Temp, ну и ip6fw.sys, которые потом проличил и убрал а волт
    после этого откыл АВЗ для посмотра карантина- он пуст, попробовал Автозагрузку (наверно не стоило этого делать) и машинв снова ушла в перезагруз
    попробовать получить логи в обычном режиме с отключением от инета и запуском браузера?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    agafonov74, у вас на диске С: файловая система FAT32?
    Может, настал момент когда надо ее в NTFS переконвертировать?

    Добавлено через 8 минут

    Попробуем еще облегчить скрипт:
    Код:
    begin
     SetAVZGuardStatus(True);
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_Activate;
     RebootWindows(false);
    end.
    С таким скриптом перезагрузка как пройдет?
    Последний раз редактировалось AndreyKa; 19.08.2007 в 00:47. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35
    диск С нтфс, диск Д- фат

    Добавлено через 9 минут

    второй скрипт прошел- изменилась заставка соранение параметров перед отклбчением и первая заставка (прошивка, кажется ????) сразу после включения. При исполнении первого скрипта-никаких сохранений параметров не выскакивало- проббегало несколько командный строк и комп отключался
    сейчас после перезагрузки никаких сообщений об ошибке или вирусе не выскочило, единственно пришлось руками установить соединение с инетом (обычно оно автоматом устанавливается)
    пробовать получить АВЗ логи????
    Последний раз редактировалось agafonov74; 19.08.2007 в 00:58. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Да логи нужны, и содержимое карантина пришлите.

  16. #15
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35
    вроде карантинные файлы отправились, я конвернтул рар в зип
    сейчас пробую получить логи через AVZ

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    В присланном карантине (15 МБ) нет ничего из того, что хотелось бы в нем увидеть. Это довольно странно, так как нет даже bcqr0000*.ini файлов.

  18. #17
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35
    На этот раз все скрипты выполнились в обычном режиме без проблем
    Если позволите, пара вопросов-

    1) в папке ЛОГ появился virusinfo_cure.zip теперь уже 15 мегов. Что с ним делать

    2) в реестре появились изменения-
    в обоих разделах ControlSet001/Services и CurrentControlSet/Services
    по-прежнему есть ключи Runtime правда там внутри другие значения-
    было что-то вроде /.../C:/Windows/system32/drivers/ip6fw.sys, а теперь что-то вроде Root/LegacyRuntime/0000
    Кроме этого добавились ключи Runtime2
    В ControlSet002/Services тоже есть runtime и runtime2, но внутри пусто.
    Это нормально?

    3) В нормальных условиях файл ip6fw.sys- Майкрософтный файрволный драйвер. Сейчас я его не нахожу. Без него можно жить или как-то нужно его восстанавливать?
    Вложения Вложения

  19. #18
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35
    Про реестровые ключи я спрашиваю потому, что наличие ключа HKEY_LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\Runtime формально считается показателем пристуствия вируса

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    1. Удалите.
    2. Нормально.
    3. Можно без него.

    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('WZCSVCRpcLocator');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки повторите лог HijackThis.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    35
    подскажите, пожалуйста, где именно в ХайДжек я должен запустить строку
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

  • Уважаемый(ая) agafonov74, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.Alman Troyan.Hosts.4561 Troyan.Carberp.12
      От lavrov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.08.2011, 16:11
    2. Troyan-Gen3, 5, 7 , Troyan Pws Gamania, Autoruner, Troyan Downloader
      От snegir в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.10.2009, 17:23
    3. Вирус Troyan.Pandex
      От Paul_High в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 07:57
    4. Troyan Pandex
      От manuka в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:42
    5. Troyan Pandex
      От Gauldoth в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01553 seconds with 23 queries