ip6fw.sys - Trojan Downloader - не лечится!

[V-23]

Вернее находится, убивается, и после перезагрузки вновь появляется.
=\
AVG определяет его как Trojan Downloader.

До того как скачал и в SafeMode запустил CureIt еще были различные трояны - бэкдор и BHO.
один BHO - сидел и не убивался в system32 - d3dr.dll
и еще появлялиь .exe в Temp папке под разными именами состоящими из цифр типа - 8712321.exe или 563245.exe

Благодоря вашим хелпам, сейчас остался только один зверь - ip6fw.sys - Trojan Downloader.
Помогите пожалуйста его добить!

[PavelA]

Осталось поболее одного. Эти звери в компании бродят. Жди. Сейчас для тебя скрипт сварганим.
Ну, у тебя и защиты: AVG, Касперский, Др.Веб, PC Tools Firewall Plus, да еще и Spyware Terminator.
Количеством хотел взять, а надо качеством. Какой из антивирусов работоспособный, с лицензией? Остальных надо деинсталлировать.

Добавлено через 13 минут

Выполнять в Safe Mode:

Код:

begin
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\sp_rsdrv2.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки загрузить карантин через ссылку вверху темы.

Сделать новые логи.

[V-23]

dr WEB был лицензионный, умер когда кончилась полугодичная лицензия.
Касперский 6.0 - каюсь, колотая версия, обновленная база
AVG - бесплатная версия нашла - с тех пор и обнаружилось всё.
PC Tools Firewall Plus и SpyWare Terminator - бесплатные проги по совету bestfree.ru, но обновленные базы. Уже поставил позже, когда все началось...

спасибо! начинаю выполнять!

[PavelA]

dr WEB был лицензионный, умер когда кончилась полугодичная лицензия.
Касперский 6.0 - каюсь, колотая версия, обновленная база
AVG - бесплатная версия нашла - с тех пор и обнаружилось всё.
PC Tools Firewall Plus и SpyWare Terminator - бесплатные проги по совету bestfree.ru, но обновленные базы. Уже поставил позже, когда все началось...

спасибо! начинаю выполнять!

Тормоза от этого всего страшные на машине возникают.

[V-23]

вот новые логи.

спасибо огромное!!!

да, тормозят, но мне так немного спокойней... может посоветуете что?

[V-23]

AVG Free Edition только что нашел других зверюг!!!
Trojan Horse.BackDoor.Generic7.XXD!
В нескольких файлах: типа 21321.exe, 783423.exe и таких же.

чем его придушить?
я думал что мои напасти на этом закончились... =\

AVG продолжает сканировать...

[V_Bond]

пофиксите ...

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

что из этого используете ....
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

[V-23]

Ничего не понимаю в службах...
Комп использую и дома и на работе - организую иногда локальную сеть по WiFi, иногда вхожу на работе в локальную сеть по rj45

NetMeeting не использую... удаленные доступы не использую.
я могу с помощю AVZ исправить состояние служб?

[V_Bond]

это скрипт закрывает все кроме доступа анонимного пользователя ...

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.

[V-23]

Спасибо!

Проверка показала: "вирусов - нет"!

Большое спасибо!

[Muzzle]

AVG Free Edition только что нашел других зверюг!!!
Trojan Horse.BackDoor.Generic7.XXD!
В нескольких файлах: типа 21321.exe, 783423.exe и таких же.

чем его придушить?
я думал что мои напасти на этом закончились... =\

AVG продолжает сканировать...

Вы их удалили?Если теперь всё чисто,то лечение можно считать законченным.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[V-23]

Да, удалил.
Прошел еще раз CureIt, он удалил даже карантин AVG.

С удовольствием собрал!
virusinfo_files_V_23.zip
отправился к вам.

Еще раз спасибо!

P.S.
если что нужно будет в плане звука, создания звука, редакции или ешо что - обращайтесь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены