ip6fw.sys вирус...

[Gaer]

Доброго времени суток

неубиваецо никак

ip6fw.sys

нид хелп

очень похоже на http://virusinfo.info/showthread.php?t=13120

[Bratez]

Пофиксите в HijackThis:

Код:

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/web_games/popcap/bejeweled2/popcaploader_v6.cab
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
 BC_QrSvc('runtime');
 BC_QrSvc('runtime2');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

[Gaer]

всё сделал, жду дальнейших указаний

[Bratez]

Карантин пустой.

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

Выполните скрипт в AVZ:

Код:

begin
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин по правилам.
(архивировать при выключенном антивирусе).

[Gaer]

прислал карантин...
(антивирус был выключен. вроде...)

[PavelA]

Скушал антивирус файл еще раз.
Перед выполнением скрипта надо остановить вот этот сервис:

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

Можно сделать так: Пуск - Выполнить -- sc stop NOD32krn, нажать "Ок"

[Bratez]

И опять пусто.
Вообще-то AVZ не определяет ваш ip6fw.sys как зловреда.
Есть мнение, что он чист. Или НОД на него ругается?

[PavelA]

В карантине код копирования этого файла 0. Вроде бы это успешная операция.

[Bratez]

В принципе не мудрствуя лукаво, его можно удалить. И даже если он чист, вы ничего не потеряете. Просто хотелось получить образец, на случай если это свежая модификация известного руткита.
Попробуйте его вручную заархивировать в безопасном режиме.
И еще, прежде чем удалять, на всякий случай гляньте в свойствах сетевых подключений список компонентов, не установлен ли там протокол IPv6. Если установлен - удалите кнопочкой, он на самом деле не нужен.
А вот скрипт для удаления файла:

Код:

begin
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_Activate;
RebootWindows(true);
end.

[Gaer]

пардон, вчера вырубили интернет сетевики...

отключил антивирь, сохранил карантин и прислал...

антивирь уже не ругается, спасибо за помощь.

не подскажете, как этого в будущем избежать? мне тут сказали, что это уже не первый случай подобных проблем.

кстати на соседней машине похожие симптомы, и прибегал сисадмин... ругался что из-за наших машин у него какие-то нелады...

[Bratez]

Карантин опять пустой, причем вчерашний, те же ini-файлики.
А просто взять конкретно этот файл и сархивировать вручную?
Или удалили уже?

[Gaer]

не, пока не удалил...

прислал.

Добавлено через 1 минуту

да, на соседней машине тот же самый зверь, по крайней мере НоД ругается 1 в 1...

скрипты для лечения на той машине сработают, или нужны новые?

[PavelA]

Не зря его удалили. BackDoor.Bulknet по Доктору.

[Bratez]

Для удаления скрипт в сообщении #9.

С другого компьютера нужны логи, причем в отдельную тему.
Лечение дается индивидуально.

[Gaer]

после выполнения скрипта на удаление файла, опять кричит антивирь... он пожоже откуда то восстанавливается...

[PavelA]

Удаляй в Safe Mode.

[Gaer]

спасибо, удалил в safe mode. вроде не шумит...

[Bratez]

Потом свежий комплект логов надо сделать.

[Gaer]

не могу аплоадить логи...

Ошибки загрузки

[Gaer]

вроде подгрузились...