Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Помогите убить runtime2.sys (Trojan.Win32.Agent.jp) (заявка № 14248)

  1. #1
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    10
    Вес репутации
    34

    Thumbs up Помогите убить runtime2.sys (Trojan.Win32.Agent.jp)

    И еще понять на что ругается Касперский в c:\windows\system32\svchost.exe - там какой-то Hidden Object

    Кстати, кто бы объяснил, зачем нужны все эти логи? неужели для известного трояна нет станддартного алгоритма ликвидации, который работал бы на любой машине?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт....
    Код:
    begin
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
    BC_DeleteSvc('msupdate');
     BC_Activate;
     RebootWindows(true);
    end.
    после перезагрузки еще один
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\comrep.dll','');
     QuarantineFile('C:\DOCUME~1\serge\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\actcontroller.exe','');
     QuarantineFile('C:\WINDOWS\win_kernel.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ewmjolnb.dat','');
     QuarantineFile('ewmjolnb.dat','');
     QuarantineFile('tablet s','');
    DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\actcontroller.exe');
     DeleteFile('C:\DOCUME~1\serge\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\comrep.dll');
     BC_QrSvc('ewmjolnb');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    10
    Вес репутации
    34

    Логи повторного сканирования

    Карантин с полчаса как выслал
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\Documents and Settings\serge\Local Settings\Temporary Internet Files\Content.IE5\7WE3BH5I\203[1].exe -TR/Crypt.XPACK.Gen - Trojan
    C:\Documents and Settings\serge\Local Settings\Temporary Internet Files\Content.IE5\JP9R00GZ\msntsrv[1].exe Worm/Ntech.R
    C:\Program Files\T-FLEX\T-FLEX CAD ST 10\Библиотеки\Служебные\Форматки\Форматка.exe -чистый
    C:\Program Files\Windows Embedded\Installer\DISK1\SAMPLES\TUTORIAL\HELLOWOR LD.EXE -чистый
    C:\Program Files\TortoiseSVN\bin\tortoisesvn.dll -чистый
    C:\Program Files\TortoiseSVN\bin\libapr.dll -чистый
    C:\Program Files\TortoiseSVN\bin\libaprutil.dll -чистый
    C:\Program Files\TortoiseSVN\bin\libdb42.dll-чистый
    C:\Program Files\TortoiseSVN\bin\libapriconv.dll-чистый
    C:\Program Files\TortoiseSVN\bin\intl.dll-чистый
    C:\Program Files\TortoiseSVN\iconv\_tbl_simple.so-чистый
    C:\Program Files\TortoiseSVN\iconv\windows-1251.so-чистый
    C:\Program Files\TortoiseSVN\iconv\utf-8.so-чистый
    C:\Program Files\Battery miser\McIdle.dll-чистый
    C:\Program Files\On Screen Display\MgHookDll.dll-чистый

    очистите временные интернет файлы ...
    отключите антивирус ...
    выполните скрипт....

    Код:
    begin
     ClearQuarantine;
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\win_kernel.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ewmjolnb.dat','');
     QuarantineFile('ewmjolnb.dat','');
     QuarantineFile('tablet s','');
    DeleteFile('C:\WINDOWS\system32\comrep.dll');
    DelCLSID('6AC0B31E-3C43-4BB7-9010-6001534EB9B1');
    BC_QrSvc('ewmjolnb');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...

  6. #5
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    10
    Вес репутации
    34
    Отослал. Логи еще раз собирать?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\drivers\ewmjolnb.dat');
     BC_ImportDeletedList;
     BC_DeleteSvc('ewmjolnb');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи....

  8. #7
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    10
    Вес репутации
    34

    Логи

    Я в последнем far забыл закрыть. Это действительно критично - все закрывать? Надо переделывать? Это еще на полчаса
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497

  10. #9
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    10
    Вес репутации
    34

    Готовр

    а что, в логах есть что-то подозрительное?
    Вложения Вложения
    • Тип файла: zip avz4.zip (34.3 Кб, 3 просмотров)

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
     QuarantineFile('\??\C:\DOCUME~1\SERGE\LOCALS~1\TEMP\FTMP000K.1E0\PORTMSYS.SYS','');
     QuarantineFile('\??\C:\Program Files\coLinux\linux.sys','');
     DeleteFile('\SystemRoot\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\comrep.dll');
     DelCLSID('6AC0B31E-3C43-4BB7-9010-6001534EB9B1');
    BC_DeleteSvc('protect');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    повторите логи...

  12. #11
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    10
    Вес репутации
    34

    снова логи

    в прошлый раз я, похоже, вместо карантина прислал infected
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите...
    Код:
    O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
    поищите win_kernel.exe припомощи AVZ-сервис-поск файлов на диске.... если найдется пришлите по правилам...

  14. #13
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    10
    Вес репутации
    34
    Обнаружил у себя любопытный файл - system32\w32drv3.exe - ничем не ловится, даже как подозрительный, но по дате создания и поведению похож на троян. Oтправляю. А win_kernel не найден.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\temp\q\system32\w32drv3.exe Trojan-Dropper.Win32.Microjoin.fx
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\temp\q\system32\w32drv3.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    сделайте лог hijackthis.log ...

  16. #15
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    10
    Вес репутации
    34
    готово
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [C:\WINDOWS\win_kernel.exe] C:\WINDOWS\win_kernel.exe
    сделайте лог hijackthis.log ...

  18. #17
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    10
    Вес репутации
    34
    вот он
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    больше не вижу ничего зловредного ...какие-то проблемы остались ?

  20. #19
    Junior Member Репутация
    Регистрация
    17.11.2007
    Сообщений
    10
    Вес репутации
    34
    Подозрительной активности вроде не видно, спасибо огромное. У меня ноут без дисков, и дистрибутива xp tablet нету, переставлять систему я бы удавился.

    Пока лечили, комп перестал в спящий режим переходить. С чем это может быть связано, не знаете? Пишет "идет подготовка к переходу в спящий режим" и так и остается на ней. Бегунок уже не появляется. Но это уже не вирус, сам в конце концов разберусь

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    тут по этой теме есть ссылки ...

  • Уважаемый(ая) year2005, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. помогите убить Trojan.Win32.Ddox.ci
      От Anton25 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 18.07.2011, 17:39
    2. заразился Trojan-PSW.Win32.LdPinch.zie, помогите убить
      От Konst777 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 04.07.2009, 11:02
    3. Как убить Trojan-Dropper.Win32.Agent.clv
      От Liss в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 04:41
    4. Помогите убить startdrv.exe и runtime2.sys
      От MVS в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:14
    5. Как убить Trojan.Win32.Agent.bcjv ? Если это он.
      От PAN333 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.01.2009, 03:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00645 seconds with 20 queries