Показано с 1 по 15 из 15.

ip6fw.sys и smtpdrv.sys (Agent.NBT червь) (заявка № 12279)

  1. #1
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    7
    Вес репутации
    34

    Thumbs up ip6fw.sys и smtpdrv.sys (Agent.NBT червь)

    Здравствуйте!
    На компе стоит Windows XP, антивирус - NOD 32 с последними базами.
    При каждой загрузке системы, нод сообщает о двух вирусах -
    c:\Windows\System32\drivers\ip6fw.sys
    и
    c:\Windows\System32\drivers\smtpdrv.sys (Agent.NBT червь)
    а также о
    c:\Document and Setting\...\Local Setting\Temp\418892.exe (цифры в названии могут быть и другие)
    НОД каждый раз их удаляет, но при перезагрузке они возникают заново.
    Выполгил инструкцию с этого сайта.
    cureit.exe нашёл теже вирусы и удалил их. При перезагрузке вирусы вылезли снова.
    Прикрепляю логи от avz4 и HiJackThis
    Вложения Вложения
    Последний раз редактировалось Tsubasa; 08.09.2007 в 20:40.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    virusinfo_cure.zip -уберите из темы ...
    профиксите...
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    выполните скрипт..
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system32\topserver.bat');
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ... повторите логи..
    Последний раз редактировалось drongo; 09.09.2007 в 18:36.

  4. #3
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    7
    Вес репутации
    34
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    Я правильно понимаю - нужно убрать из ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run строку, загружающюю C:\WINDOWS\Temp\startdrv.exe ? Проверил эту ветку, такой строки нет.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    575
    Цитата Сообщение от Tsubasa Посмотреть сообщение
    Я правильно понимаю - нужно убрать из ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run строку, загружающюю C:\WINDOWS\Temp\startdrv.exe ? Проверил эту ветку, такой строки нет.
    http://virusinfo.info/showthread.php?t=4491
    Опыт — это слово, которым люди называют свои ошибки.

  6. #5
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    7
    Вес репутации
    34
    Ок. Запустил HijackThis, но он тоже не нашёл startdrv.exe, хотя в первом логе startdrv.exe есть. Прилагаю свежий лог.
    Запустил на avz указанный скрипт. Выдаёт ошибку "';' expected в позиции 2:12".
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    а так попробовать?
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system32\topserver.bat');
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_Activate;
     ExecuteRepair(12);
     RebootWindows(true);
    end.

  8. #7
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    7
    Вес репутации
    34
    Выполнил. После перезагрузки НОД молчит. Завтра всё протестирую ещё раз (сегодня уже времени нет), но кажется зараза изгнана. Спасибо огромное!

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    повторите логи, и будем знать точно....

    Добавлено через 8 минут

    да и карантин хотелось бы увидеть...
    Последний раз редактировалось V_Bond; 09.09.2007 в 20:09. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    7
    Вес репутации
    34
    Сделал новые логи.
    Карантин, к сожалению прислать не могу - НОД его удалил при сканировании.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\topserver.bat','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');     
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...

  12. #11
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    7
    Вес репутации
    34
    Пофиксил.
    Выполнил скрипт. После перезагрузки просканировал.

    Вот карантин.

    [moderated - карантин нужно присылать в соответствии с приложением 3 правил]
    Вложения Вложения
    Последний раз редактировалось Shu_b; 10.09.2007 в 12:12.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    уберите карантин из темы....
    в логах чисто ...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    'C:\WINDOWS\system32\topserver.bat' - не страшная
    Но карантин здесь совсем не нужен.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    7
    Вес репутации
    34
    Прислал карантин так, как указано в правилах, но он кажется не прислался из-за неправильной ссылки на тему (я случайно дал ссылку не на тему, а на последний пост).
    Второй раз загружать не стал, по причине, указанной в правилах.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    В логах чисто.
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  • Уважаемый(ая) Tsubasa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. ip6fw.sys и smtpdrv.sys
      От zock в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 22.02.2009, 02:29
    2. smtpdrv.sys (Agent.NTB)
      От Neon4ik в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.02.2008, 15:24
    3. Win32:Agent_LNK(ip6fw.sys, smtpdrv.sys)
      От astral в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 28.01.2008, 14:49
    4. smtpdrv.sys Win32/Agent.NBD червь
      От Ice17 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.01.2008, 14:24
    5. ip6fw.sys smtpdrv.sys
      От Andranik в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.10.2007, 03:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00908 seconds with 24 queries