Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Они появляются снова: runtime2.sys, sulimo.dat, ip6fw.sys (заявка № 13597)

  1. #1
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34

    Thumbs up Они появляются снова: runtime2.sys, sulimo.dat, ip6fw.sys

    Неоднократно удалял эти файлы с помощью скриптов, найденных на вашем форуме (возможно они не подошли, а самому написать - ума не хватит-чайник) после перезагрузки все появляется снова. восстановление системы отключено. Несколько дней назад похожие проблемы были с printer.exe, но после выполнения скриптов (спасибо этому сайту) система заработала нормально. но ненадолго (
    кто виноват и как жить дальше? вернее что делать?

    во вложениях - что находят аваст и avz
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Мы сможем помочь, если вы сделаете логи по правилам:
    http://virusinfo.info/showthread.php?t=1235
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34
    исправляюсь.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearHostsFile;
    BC_DeleteSvc('ICF');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте дополнительный лог, как написано тут:
    http://virusinfo.info/showthread.php?t=10387
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34
    сделал.
    беспокоит вот это: C:\WINDOWS\oeimara.exe >>> подозрение на Trojan.Win32.Inject.iq
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Да, забыл добавить: карантин AVZ пришлите согласно приложению 3 правил (загружать тут: http://virusinfo.info/upload_virus.php?tid=13597).

    avz_sysinfo.zip - запакуйте html а не xml.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34
    в карантине есть более ранние удаления - файлы printer.exe, я о нем писал. его высылать?

  9. #8
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34
    чуть не забыл.
    Вложения Вложения

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    C:\WINDOWS\oeimara.exe - это действительно Trojan.Win32.Inject.iq
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\oeimara.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи по правилам.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34
    надо сказать, что еще до выполнения последнего скрипта вирусные атаки прекратились, тормоза вроде бы пропали, но в безопасном режиме cureit! опять находит и удаляет sulimo.dat (Trojan.Proxy.1739)
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
    QuarantineFile('\SystemRoot\system32\DRIVERS\nvcap.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    где Cureit находит sulimo.dat ? среди активніх я его не вижу ....

  13. #12
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34
    сегодня вроде все чисто. спасибо за помощь. и с прошедшим днем водителя ).
    карантин высылаю.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    присланный вами файл чистый ... больше ничего подозрительного не вижу ... какие проблемы остались ?

  15. #14
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34
    Все нормально вроде бы. Еще раз спасибо.

  16. #15
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34
    второе пришествие: снова сканер вопит о вирусной атаке каждые 2 секунды, обнаруживаются и удаляются: DefLib.sys, ip6fw.sys, c++.exe\[UPX], runtime.sys.
    После перезагрузки этих файлов нет и в принципе все вроде работает, но вот эти наводят на подозрение: wupdsvc0, wupdsvc4, wupdsvc6. На всякий случай сделал логи.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system32\c++.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
     BC_DeleteFile('C:\WINDOWS\system32\c++.exe');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_DeleteSvc('FCI');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13597
    но вот эти наводят на подозрение: wupdsvc0, wupdsvc4, wupdsvc6. На всякий случай сделал логи.
    Где эти файлы?Вы их удалили?
    Если нет то поместите в карантин и отправьте по правилам,после удалите их.

  18. #17
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34
    как их поместить в карантин? извиняюсь за глупый вопрос. или просто заархивировать и выслать?

    Добавлено через 45 секунд

    wupdsvc0, wupdsvc4, wupdsvc6 - я их имею в виду
    Последний раз редактировалось BreAl; 01.11.2007 в 06:02. Причина: Добавлено

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Да,поместить в арвив с паролем "virus" и прислать по правилам,после выполнения скрипта,сделайте новые логи.

  20. #19
    Junior Member Репутация
    Регистрация
    27.10.2007
    Сообщений
    39
    Вес репутации
    34
    новые логи. стоит ли обращать внимание на:
    >> Маскировка драйвера: Base=F3A63000, размер=131072, имя = "\SystemRoot\system32\DRIVERS\nvcap.sys"
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    836
    1.В avz выполнить скрипт:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\c++.exe','');
     DeleteFile('C:\WINDOWS\system32\c++.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Пофиксить в HiJackThis если будет
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\c++.exe,
    3.Выслать карантин согласно приложению 3 правил

  • Уважаемый(ая) BreAl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 14
      Последнее сообщение: 22.02.2009, 02:21
    2. проблема с ip6fw.sys, runtime2.sys и IEXPLORE.EXE
      От grad_19 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:15
    3. ip6fw.sys | runtime.sys | runtime2.sy_
      От eizu в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:55
    4. runtime2.sys и ip6fw.sys
      От BarsukovAV в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.07.2007, 18:06
    5. Зараза: runtime2.sys ip6fw.sys
      От antivor в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.07.2007, 07:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01262 seconds with 23 queries