Добрый день!
Сканирую Doctor Web 4.33 (обновлен) получаю сообщение:
С:\windows\system32\drivers\ip6fw.sys инфицирован Trojan.NtRootKit.319
После удаления возникает снова при рестарте.
Видел подобное, но следуя правилам присылаю свои логи!!!
Добрый день!
Сканирую Doctor Web 4.33 (обновлен) получаю сообщение:
С:\windows\system32\drivers\ip6fw.sys инфицирован Trojan.NtRootKit.319
После удаления возникает снова при рестарте.
Видел подобное, но следуя правилам присылаю свои логи!!!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\sysboga.exe',''); QuarantineFile('C:\WINDOWS\TEMP\go.exe',''); QuarantineFile('C:\PROGRA~1\COMMON~1\System\w_3789.dll',''); BC_ImportQuarantineList; BC_DeleteSvc('Ip6Fw'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Добавлено через 2 минуты
Выполните второй скрипт:
После перезагрузки пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\sysboga.exe'); DeleteFile('C:\WINDOWS\TEMP\go.exe'); DeleteFile('C:\PROGRA~1\COMMON~1\System\w_3789.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Еще раз перезагрузитесь и сделайте новые логи.Код:F2 - REG:system.ini: Shell=explorer.exe "C:\sysboga.exe" O2 - BHO: (no name) - {FDED1C12-AD76-613C-344C-A3BD5C6415B2} - C:\PROGRA~1\COMMON~1\System\w_3789.dll
Последний раз редактировалось Bratez; 02.10.2007 в 12:21. Причина: Добавлено
I am not young enough to know everything...
Вдогонку: на время выполнения скриптов от Bratez, отключитесь от сети и отключите антивирусный монитор. DrWeb не виден в логах - вы его отключили, или удалили вообще? Если он не удален и лицензионно чист, после выполнения скриптов, обновляйте его до версии 4.44.
Исправил ошибку во втором скрипте...
I am not young enough to know everything...
Все проделал как советовали.Правда профиксить
F2 - REG:system.ini: Shell=explorer.exe
не удалось - такой строки не было.
После последней перезагрузки все прогнал еще раз DrWEB-ом.
Все OK! Спасибо. Но скрипты все-таки высылаю...
Последний раз редактировалось drongo; 03.10.2007 в 11:13.
уберите карантин из темы ... его нужно закачать по ссылке ... http://virusinfo.info/upload_virus.php?tid=12871
пофиксите ...
D:\autorun.inf - это СD ?Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
что из этого используете ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Область применения: домашний.
Есть желание все эти дыры позакрывать!
D: - это CD-ROM, но по-моему я в msconfig убрал с этой строки галочку!
Для закрытия дырок:
Код:begin SetServiceStart('RemoteRegistry', 4); SetServiceStart('TermService', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('Schedule', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('RDSessMgr', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Уважаемый(ая) ASG1975, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.