Показано с 1 по 16 из 16.

Проблема с IP6FW (заявка № 12199)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2007
    Сообщений
    6
    Вес репутации
    61

    Thumbs up Проблема с IP6FW

    Проблема с IP6FW, Приперезагрузке в катлоге %System%temp каждый раз появляется новый ехе файл, есть трафик по SMPT протоколу.
    Как с ним бороться ?
    Заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O1 - Hosts: 127.0.0.2 updates.drweb.com
    O1 - Hosts: 127.0.0.2 kaspersky.ru
    в AVZ выполнить скрипт:
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system32\ntos.exe');
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
    BC_QrFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_Activate;
     SysCleanAddFile('C:\WINDOWS\Temp\startdrv.exe');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После перезагрузки загрузить карантин через ссылку вверху темы
    (см Приложение 3 Правил)

    Сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2007
    Сообщений
    6
    Вес репутации
    61

    Новые логи

    Карантин загрузил!
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
     ClearQuarantine;
    end.
    Повторить скрипт из сообщения №2 в Safe Mode
    Если что-то попадет в карантин, то загрузить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    05.09.2007
    Сообщений
    6
    Вес репутации
    61
    Цитата Сообщение от PavelA Посмотреть сообщение
    Выполнить скрипт:
    Код:
    begin
     ClearQuarantine;
    end.
    Повторить скрипт из сообщения №2 в Safe Mode
    Если что-то попадет в карантин, то загрузить.
    Выполнил в Safe Mode Логи прилагаются, Файл карантина послал

    Трафик SMTP пропал, но в каталоге%System%Temp ехе файл присутствует!
    Вложения Вложения
    Последний раз редактировалось us1; 05.09.2007 в 15:02. Причина: Добавка

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\ZXE873.EXE','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O1 - Hosts: 127.0.0.2 updates.drweb.com
    O1 - Hosts: 127.0.0.2 kaspersky.ru
    Новый карантин загрузите по правилам.

    Сообщите, нужно ли что-то из этого (остальное поправим):
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    I am not young enough to know everything...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    в каталоге%System%Temp ехе файл присутствует
    Это Guard TrendScan
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    05.09.2007
    Сообщений
    6
    Вес репутации
    61
    QuarantineFile('C:\WINDOWS\TEMP\ZXE873.EXE',') ' Надо ли это делать Если это Trend Micro ???


    DeleteFile('C:\WINDOWS\system32\ntos.exe') Такого файла нет

    Со службами я сам разберусь, Спасибо!

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    ОК, тогда после фикса сделайте контрольные логи, начиная с п.10 правил.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    05.09.2007
    Сообщений
    6
    Вес репутации
    61

    Контрольные логи

    Контрольные логи
    Вложения Вложения

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Есть ощущение,что стало чисто.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Что-то новенькое появилось. Поищите через AVZ вот это чудо:
    C:\WINDOWS\TEMP\CGACFA.EXE
    и пришлите по правилам.

    Добавлено через 40 секунд

    Или это тоже Тренд Микро?
    Последний раз редактировалось Bratez; 05.09.2007 в 17:36. Причина: Добавлено
    I am not young enough to know everything...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Bratez Посмотреть сообщение
    C:\WINDOWS\TEMP\CGACFA.EXE
    Или это тоже Тренд Микро?
    Если иконка "собачка", то это он.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    05.09.2007
    Сообщений
    6
    Вес репутации
    61

    Это Тренд микро!

    Цитата Сообщение от Bratez Посмотреть сообщение
    Что-то новенькое появилось. Поищите через AVZ вот это чудо:
    C:\WINDOWS\TEMP\CGACFA.EXE
    и пришлите по правилам.

    Добавлено через 40 секунд

    Или это тоже Тренд Микро?
    Это тренд микро, он при каждом запуске делает для себя новый exe-шник.

    Спасибо за помощь!!!

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 33
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) us1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. ip6fw.sys
      От bandot в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 02:51
    2. проблема с ip6fw.sys, runtime2.sys и IEXPLORE.EXE
      От grad_19 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:15
    3. ip6fw.sys
      От Larsson в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 02:00
    4. ip6fw.sys - проблема с лечением
      От zeliard в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 01:51
    5. ip6fw.sys
      От Yurii в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 02.08.2007, 13:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00316 seconds with 20 queries