Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Troyan.Pandex ip6fw.sys (заявка № 11741)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61

    Thumbs up Troyan.Pandex ip6fw.sys

    Подскажите, пожалуйста, возможно ли избавиться от этого вируса без
    переустановки операционной системы или форматирования диска. Прилагаю последний лог AVZ.

    Описание похожего вируса нашел на сайте Семантек-
    http://www.symantec.com/security_response/writeup.jsp?docid=2007-042001-1448-99&tabid=2, но предложенное там лечение вируса не помогло.

    Пробовал различные антивирусный программы, включая AVZ, но они
    либо пропускают пораженный файлы (ip6fw.sys и др.) либо отправляют
    их в карантин до следующей перезагрузки ОС и подключения к сети.

    Вирусные ключи реестра также восстанавливаются с перезагрузкой,
    несмотря на удаления в Безопасном режиме.

    Большое спасибо за совет.

    С уважением,
    Антон
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Выполните логи как сказано в правилах и мы всё почистим
    http://virusinfo.info/showthread.php?t=1235

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61
    Беда- в течение нескольких секунд после начала исполнения скрипта пункта 8, компьютер перезагружается и начинает Disks Consistency Check. Затем грузит Винд, и выскакивает Оправка отчета об ошибке

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    agafonov74, выполните правила начиная с пункта 10, только перед этим отключите восстановление системы.

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61
    ОТклчючил восстановление, запустил АВЗ со скрптом из пункта 10- скриппт вроде полностью прогнался, но по завешении ноут снова перезагрузился, появилось ОТчет об отправки с ошибкой с описанием:

    BCCode : 1000000a BCP1 : 00000054 BCP2 : 00000002 BCP3 : 00000001
    BCP4 : 804DBC8E OSVer : 5_1_2600 SP : 2_0 Product : 768_1

    папка ЛОГ появилась но файла в ней нет

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Применим тяжелую артиллерию.

    Закройте все программы.
    Отключитесь от Интернета.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил)
    Попробуйте сделать логи еще раз. С логом Hijaсkthis тоже проблемы?
    Последний раз редактировалось AndreyKa; 19.08.2007 в 00:07. Причина: убрал SearchRootkit(true, true);

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61
    Большое спасибо за ответ
    я сумел добыть логи, но в Безопасном режиме, они подойдут или нужно только в обычном режиме ???
    лог пункта 8- в Безоппасном режиме
    лог пункта 10 и хайджек- в Безопасном с подключением сетевых драйверов

    В папке AVZ, кроме 2 архивов и 2 html, появился пустой архив virusinfo_cure размером 1 Кб. Так и должно быть?
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61
    рекомендованный Вами скрипт пока не запускал

    Добавлено через 18 минут

    пробовал рекомендации сайта Симантека ранее, но не помогло, драйвера и реестрового ключа NetDetect не было, только ip6fw.sys, ну и ключ Runtime восстанавливается с каждой перезагрзкой как в CurrentControlSet/Services...., так и в ControlSet001/Services....
    Последний раз редактировалось agafonov74; 18.08.2007 в 23:25. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Логи посмотрел, к сприпту добавить нечего. Выполняйте как есть.

    Цитата Сообщение от agafonov74 Посмотреть сообщение
    появился пустой архив virusinfo_cure размером 1 Кб. Так и должно быть?
    Да.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Логи посмотрел, к сприпту добавить нечего. Выполняйте как есть.
    Скорее всего машина уйдет в бсод после этой строки:

    SearchRootkit(true, true);
    Я бы рекомендовал её убрать.

  12. #11
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61
    скрипт прогнал без строки SearchRootkit(true, true);
    машина перезагрузилась с проверкой дисков на консистенси, после загузки ОС -обычное предложение отправить отчет о восстановлении после ошибки
    затем AVG опять обнаружил 2 файла- эгзешный в Local Settings\Temp, ну и ip6fw.sys, которые потом проличил и убрал а волт
    после этого откыл АВЗ для посмотра карантина- он пуст, попробовал Автозагрузку (наверно не стоило этого делать) и машинв снова ушла в перезагруз
    попробовать получить логи в обычном режиме с отключением от инета и запуском браузера?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    agafonov74, у вас на диске С: файловая система FAT32?
    Может, настал момент когда надо ее в NTFS переконвертировать?

    Добавлено через 8 минут

    Попробуем еще облегчить скрипт:
    Код:
    begin
     SetAVZGuardStatus(True);
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_Activate;
     RebootWindows(false);
    end.
    С таким скриптом перезагрузка как пройдет?
    Последний раз редактировалось AndreyKa; 19.08.2007 в 00:47. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61
    диск С нтфс, диск Д- фат

    Добавлено через 9 минут

    второй скрипт прошел- изменилась заставка соранение параметров перед отклбчением и первая заставка (прошивка, кажется ????) сразу после включения. При исполнении первого скрипта-никаких сохранений параметров не выскакивало- проббегало несколько командный строк и комп отключался
    сейчас после перезагрузки никаких сообщений об ошибке или вирусе не выскочило, единственно пришлось руками установить соединение с инетом (обычно оно автоматом устанавливается)
    пробовать получить АВЗ логи????
    Последний раз редактировалось agafonov74; 19.08.2007 в 00:58. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Да логи нужны, и содержимое карантина пришлите.

  16. #15
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61
    вроде карантинные файлы отправились, я конвернтул рар в зип
    сейчас пробую получить логи через AVZ

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    В присланном карантине (15 МБ) нет ничего из того, что хотелось бы в нем увидеть. Это довольно странно, так как нет даже bcqr0000*.ini файлов.

  18. #17
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61
    На этот раз все скрипты выполнились в обычном режиме без проблем
    Если позволите, пара вопросов-

    1) в папке ЛОГ появился virusinfo_cure.zip теперь уже 15 мегов. Что с ним делать

    2) в реестре появились изменения-
    в обоих разделах ControlSet001/Services и CurrentControlSet/Services
    по-прежнему есть ключи Runtime правда там внутри другие значения-
    было что-то вроде /.../C:/Windows/system32/drivers/ip6fw.sys, а теперь что-то вроде Root/LegacyRuntime/0000
    Кроме этого добавились ключи Runtime2
    В ControlSet002/Services тоже есть runtime и runtime2, но внутри пусто.
    Это нормально?

    3) В нормальных условиях файл ip6fw.sys- Майкрософтный файрволный драйвер. Сейчас я его не нахожу. Без него можно жить или как-то нужно его восстанавливать?
    Вложения Вложения

  19. #18
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61
    Про реестровые ключи я спрашиваю потому, что наличие ключа HKEY_LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\Runtime формально считается показателем пристуствия вируса

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Удалите.
    2. Нормально.
    3. Можно без него.

    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('WZCSVCRpcLocator');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки повторите лог HijackThis.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    17.08.2007
    Адрес
    Канада
    Сообщений
    14
    Вес репутации
    61
    подскажите, пожалуйста, где именно в ХайДжек я должен запустить строку
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

  • Уважаемый(ая) agafonov74, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.Alman Troyan.Hosts.4561 Troyan.Carberp.12
      От lavrov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.08.2011, 16:11
    2. Troyan-Gen3, 5, 7 , Troyan Pws Gamania, Autoruner, Troyan Downloader
      От snegir в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.10.2009, 17:23
    3. Вирус Troyan.Pandex
      От Paul_High в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 07:57
    4. Troyan Pandex
      От manuka в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:42
    5. Troyan Pandex
      От Gauldoth в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00958 seconds with 20 queries