Junior Member
Вес репутации
61
Помогите убить runtime2.sys (Trojan.Win32.Agent.jp)
И еще понять на что ругается Касперский в c:\windows\system32\svchost.exe - там какой-то Hidden Object
Кстати, кто бы объяснил, зачем нужны все эти логи? неужели для известного трояна нет станддартного алгоритма ликвидации, который работал бы на любой машине?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт....
Код:
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.
после перезагрузки еще один
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\comrep.dll','');
QuarantineFile('C:\DOCUME~1\serge\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\actcontroller.exe','');
QuarantineFile('C:\WINDOWS\win_kernel.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ewmjolnb.dat','');
QuarantineFile('ewmjolnb.dat','');
QuarantineFile('tablet s','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\actcontroller.exe');
DeleteFile('C:\DOCUME~1\serge\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\comrep.dll');
BC_QrSvc('ewmjolnb');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
повторите логи ...
Junior Member
Вес репутации
61
Логи повторного сканирования
Карантин с полчаса как выслал
Вложения
C:\Documents and Settings\serge\Local Settings\Temporary Internet Files\Content.IE5\7WE3BH5I\203[1].exe -TR/Crypt.XPACK.Gen - Trojan
C:\Documents and Settings\serge\Local Settings\Temporary Internet Files\Content.IE5\JP9R00GZ\msntsrv[1].exe Worm/Ntech.R
C:\Program Files\T-FLEX\T-FLEX CAD ST 10\Библиотеки\Служебные\Форматки\Форматка.exe -чистый
C:\Program Files\Windows Embedded\Installer\DISK1\SAMPLES\TUTORIAL\HELLOWOR LD.EXE -чистый
C:\Program Files\TortoiseSVN\bin\tortoisesvn.dll -чистый
C:\Program Files\TortoiseSVN\bin\libapr.dll -чистый
C:\Program Files\TortoiseSVN\bin\libaprutil.dll -чистый
C:\Program Files\TortoiseSVN\bin\libdb42.dll-чистый
C:\Program Files\TortoiseSVN\bin\libapriconv.dll-чистый
C:\Program Files\TortoiseSVN\bin\intl.dll-чистый
C:\Program Files\TortoiseSVN\iconv\_tbl_simple.so-чистый
C:\Program Files\TortoiseSVN\iconv\windows-1251.so-чистый
C:\Program Files\TortoiseSVN\iconv\utf-8.so-чистый
C:\Program Files\Battery miser\McIdle.dll-чистый
C:\Program Files\On Screen Display\MgHookDll.dll-чистый
очистите временные интернет файлы ...
отключите антивирус ...
выполните скрипт....
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\win_kernel.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ewmjolnb.dat','');
QuarantineFile('ewmjolnb.dat','');
QuarantineFile('tablet s','');
DeleteFile('C:\WINDOWS\system32\comrep.dll');
DelCLSID('6AC0B31E-3C43-4BB7-9010-6001534EB9B1');
BC_QrSvc('ewmjolnb');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
Junior Member
Вес репутации
61
Отослал. Логи еще раз собирать?
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\ewmjolnb.dat');
BC_ImportDeletedList;
BC_DeleteSvc('ewmjolnb');
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи....
Junior Member
Вес репутации
61
Логи
Я в последнем far забыл закрыть. Это действительно критично - все закрывать? Надо переделывать? Это еще на полчаса
Вложения
Junior Member
Вес репутации
61
Готовр
а что, в логах есть что-то подозрительное?
Вложения
выполните скрипт....
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
QuarantineFile('\??\C:\DOCUME~1\SERGE\LOCALS~1\TEMP\FTMP000K.1E0\PORTMSYS.SYS','');
QuarantineFile('\??\C:\Program Files\coLinux\linux.sys','');
DeleteFile('\SystemRoot\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\comrep.dll');
DelCLSID('6AC0B31E-3C43-4BB7-9010-6001534EB9B1');
BC_DeleteSvc('protect');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
повторите логи...
Junior Member
Вес репутации
61
снова логи
в прошлый раз я, похоже, вместо карантина прислал infected
Вложения
пофиксите...
Код:
O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
поищите win_kernel.exe припомощи AVZ-сервис-поск файлов на диске.... если найдется пришлите по правилам...
Junior Member
Вес репутации
61
Обнаружил у себя любопытный файл - system32\w32drv3.exe - ничем не ловится, даже как подозрительный, но по дате создания и поведению похож на троян. Oтправляю. А win_kernel не найден.
C:\temp\q\system32\w32drv3.exe Trojan-Dropper.Win32.Microjoin.fx
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\temp\q\system32\w32drv3.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
сделайте лог hijackthis.log ...
Junior Member
Вес репутации
61
Вложения
пофиксите ...
Код:
O4 - HKLM\..\Run: [C:\WINDOWS\win_kernel.exe] C:\WINDOWS\win_kernel.exe
сделайте лог hijackthis.log ...
Junior Member
Вес репутации
61
Вложения
больше не вижу ничего зловредного ...какие-то проблемы остались ?
Junior Member
Вес репутации
61
Подозрительной активности вроде не видно, спасибо огромное. У меня ноут без дисков, и дистрибутива xp tablet нету, переставлять систему я бы удавился.
Пока лечили, комп перестал в спящий режим переходить. С чем это может быть связано, не знаете? Пишет "идет подготовка к переходу в спящий режим" и так и остается на ней. Бегунок уже не появляется. Но это уже не вирус, сам в конце концов разберусь
тут по этой теме есть ссылки ...