iexplore.exe с отключенным InternetExporer

**Muzzle** · 13.09.2007, 03:40

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12299
после этого сделайте стандартные логи,должно получиться.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 13.09.2007, 10:27

C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SY_ - вот такой еще поищите через AVZ. Ранее нам не встречался.

**KerroL** · 13.09.2007, 11:19

Файл сохранён как 070913_021902_virus070913_46e8e4663b801.zip
Размер файла 886
MD5 494bdbd4b810c5ea10fee2f29bd80f56

avz C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SY_ не нашел

**Muzzle** · 13.09.2007, 11:22

а логи получаются?

**KerroL** · 13.09.2007, 11:48

да, просто не успела еще.
вот:

**PavelA** · 13.09.2007, 12:01

Профиксить в HijackThis(поставить галочки у соотв. строк и нажать "Fix"):

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe (file missing)

**KerroL** · 13.09.2007, 12:27

пофиксила

**Muzzle** · 13.09.2007, 12:36

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine
 BC_QrFile('\SystemRoot\System32\DRIVERS\tcpip.sys');
 BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
 BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12299

**KerroL** · 13.09.2007, 12:41

Файл сохранён как 070913_034059_virus070913_1239_46e8f79ba92c4.zip
Размер файла 893
MD5 5a0f82d543e1ed2acaeb52f7064a47b2

**Muzzle** · 13.09.2007, 12:50

Нужный файл в карантин не попал, нужен C:\WINDOWS\System32\DRIVERS\tcpip.sys ,заархивируйте его установив пароль на архив "virus" и отправьте по правилам.

**KerroL** · 14.09.2007, 00:26

Файл сохранён как 070913_152553_virus070914_46e99cd18a026.zip
Размер файла 206899
MD5 4919146898c621dee2b8186df5f9e96b

**V_Bond** · 14.09.2007, 00:34

C:\WINDOWS\system32\drivers\tcpip.sys -Trojan.Win32.Patched.ba
необходимо заменить чистым из дистрибутива... замену необходимо производит в защищенном режиме...

**KerroL** · 14.09.2007, 00:43

А вот этот вот не подойдет? (лень искать дистрибутив..=)
C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
или он тоже может быть заражен? (могу его тоже прислать)

Добавлено через 4 минуты

простите за кретинизм, "защищенный режим" - это тот, который не безопасный? в смысле - в "обычном режиме"?

**V_Bond** · 14.09.2007, 00:45

берите этот ...
в смысле SAFE MODE

**KerroL** · 14.09.2007, 00:46

спасибо большое)
понятно

**KerroL** · 14.09.2007, 01:26

заменила.
логи:

**V_Bond** · 14.09.2007, 09:32

если tcpip.sys действительно заменен ... больше проблем не вижу ...

**KerroL** · 14.09.2007, 11:35

Тогда такой вопрос - почему брандмауэр Windows, при попытке к нему обратиться, выдает сообщение
"Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows"
Забить на это? Считать, что компьютер чистый и установить Outpost Security?