Показано с 1 по 15 из 15.

Троян Ip6Fw.sys, (runtime.sys) (заявка № 14342)

  1. #1
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    76
    Вес репутации
    34

    Thumbs up Троян Ip6Fw.sys, (runtime.sys)

    Здравствуйте

    Я тут наткнулся на этот троян (Ip6Fw.sys). Вообщем объясняю мою проблему: был у меня Agnitum Outpost Firewall Pro v4.0 (1007.591.145), я его обновлял, все нормально было, затем, никаких вирусов не возникало, вообщем все было отлично, потом я решил поставить не файерволл, а действительно антивирус, я выбрал Avast v 4.7.1043 Professional Edition.
    Я его поставил, все установил, серийники, там и подобное, но вдруг он у меня что -то не обновляется, я не знаю с чем это связано, если знаете, подскажите пожалуйста, буду крайне признателен, но суть не в этом, после его установки я проверил компьютер, типо там такой экспресс прверки, она начинатеся, когда перезагружается компьютер, после установки антивируса, и перед приветствием, на синем фоне идет проверка, у меня нашло кучу различных вирусов, я их некоторые удалил, некоторые переместил в хранилище, вообщем справился. И тут случается теперь перед каждым включением, перезагрузкой компьютера, пишет мне сообщение, типо обнаружен троян:

    C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys Win32:Agent-KIR [Trj]

    Затем я нажимаю "в хранилище", и сразу же
    обнаружен троян:

    C:\WINDOWS\System32\drivers\runtime.sys Win32:Agent-MEB [Trj]

    Я опять "в хранилище", потом все нормально, после этого захожу в интернет и пишет:

    обнаружен троян
    62.72.1243.static.theplanet.com/s_56_2886994867?m=3&a=1&r=1&hdd=314548344134453820 202020202020202020202003&fs=0&gen=39&proc=symlcsvc .exe&os=940000000500000001000000280a00000200000053 657276696365205061636b2032
    Win32:Small-EPJ [Trj]

    Я нажимаю "оборвать связь"(в окне антивируса), после сразу же:
    обнаружен троян

    C:\DOCUME~1\MAКСИМ\LOCALS~1\Temp\194484.exe (тут файл 194484.exe меняется...т.е. цифры могут быть разные например 123442.exe...кароче всегда меняется)

    И это у меня случается каждый, раз при включении компьютера и захода в интернет, я уже и удалял, и в хранилище, ничего не помогает.

    Я зашел на ваш и сайт, и прочитал инструкцию, в ней описано, чтобы произвести полную проверку, я проверил:
    Avast'ом
    полностью компьютер за 14 часов, и нашел кучу всего, я это все почистил, думал? что все? конец всему этому, но опять же всегда этот вирус возникал при загрузке Windows'a, тогда я решил вам тут написать, но прежде начал все делать по правилам, скачал, установил утилиту от DrWeb - CureIT!, и проверил систему в безопасном режиме...и вот О ЧУДО, у меня этого больше не возникает, т.е. мой Avast вообше ничего не пишет о этом вирусе. Windows загружается, все нормально, никаких сообщений.

    Но я решил все равно вам написать, ибо у меня когда я проверял вашими программами, а именно:
    антивирусной утилитой AVZ
    и
    HijackThis
    все равно, писалось про этот вирус...вообщем я выложил логи, и вы проверьте, что в них не так, у меня сообщение о вирусе не возникает, но все же может, мля Avast заблокировал этот вирус, и теперь он супер -мега развился, и его вообще уже не видно, он просто скрыто живет в моем компьютере и ест оперативку, вообще объясните мне и посоветуйте, что делать ?! Советуйте лучше, все предельно ясно, а то я только начинающий пользователь PC.
    Спасибо за прочтение моего письма ! Удачи !

    Жду помощи

    С уважением Максим
    Вложения Вложения
    Последний раз редактировалось Shu_b; 20.11.2007 в 11:37.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\mmall2.exe','');
     DeleteFile('C:\WINDOWS\mmall2.exe');
     BC_DeleteFile('C:\WINDOWS\mmall2.exe');
     BC_QrSvc('Mrpitussm');
     BC_DeleteSvc('Mrpitussm');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=14342

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    что из этого вам нужно?остальное исправим
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  4. #3
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    76
    Вес репутации
    34
    Я всё сделал, как Вы и просили: в AVZ пункт 1. Компьютер перезагрузился, быстро очень почему -то. Карантин прислал, как Вы написали. Правда я не знаю, нигде не отображается, что я прислал, напишите мне, что Вы получили мой файл, который я Вам прислал. Просто удостоверится. Я очень серьёзно отношусь к этому делу. Прошу вас .
    Затем пункт 2 тоже проделал.

    Но вот я не понимаю как понять:

    что из этого вам нужно?остальное исправим
    У меня ПК домашний, есть локальная сеть. Я просто не очень понимаю, в этих службах, я про некоторые знаю, но другие я не знаю, зачем они нужны и для чего, если это просто так, и ничего от них не зависит, можно и убрать остальные.


    Эти можно убрать точно:

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    А насчет этих:


    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    я точно не знаю ВООБЩЕ про них ничего, наверное тоже можно убрать, но я не уверен, давайте лучше по Вашему усмотрению, Вы ведь больше понимаете в этом. Я повторюсь компьютер используется для домашних целей.

    >> Безопасность: разрешен автозапуск программ с CDROM
    -это нужно точно !

    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    -я не знаю что это такое, но наверно лучше оставить.

    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    -не знаю что такое, наверно уберите, ведь если что, поставить можно всегда да ?! Напишите ответ пожалуйста на это !


    Вроде все проделал. Спасибо, жду дальнейшей помощи !
    Последний раз редактировалось Stample; 20.11.2007 в 05:56.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в вашем случае я думаю оставим последние 3 пункта ....
    выполните скрипт...
    Код:
    begin
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    сделайте контрольные логи...

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Ссылки в первом сообщении на всякий пожарный надо убить. Буковку в http какую-нибудь сменить.

    кстати, поздравляю. Вы не просто пользователь РС, а внимательный пользователь. С первого раза не у всех получается выполнить Правила.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    76
    Вес репутации
    34
    V_Bond
    Спасибо. Я выполнил все как Вы написали, вот только проблема теперь у меня, видимо из -за того, что служба отключена какая -то, когда нажимаю на "Ctrl + Alt + Delete" на вкладке процессы не отображается? что за процесс? типо там системный или пользователя..хотелось бы, чтобы все было как раньше, а то так не понятно, какой это процесс, и можно ли его убирать в случае глюка или еще чего либо ! Напишите пожалуйста как вернуть мне это !

    Логи сделал..только опять мля, заражено что -то...походу этот вирус не излечим блина, хоть он не отображается, но вроде всеравно живет у меня..посмотрите логи

    PavelA
    Решил к вопросу связанному с вирусом этим серьезным, подойти с умом, и все прочитал
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах чисто ...
    выполните скрипт ...
    Код:
    begin
    SetServiceStart('TermService', 2);
    RebootWindows(true);
    end.

  9. #8
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    76
    Вес репутации
    34
    V_Bond
    Спасибо, все вернулось на место. Сейчас все вроде нормально, ничего нету, все отлично с компьютером, вирусов вроде нету.

    Хочу выразить огромную благодарность:
    Muzzle
    V_Bond
    PavelA
    за помощь в удалении этих вирусов. Спасибо еще раз ! Очень Вам благодарен !

    С уважением Максим

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Советую работать за компьютером под пользователем с ограниченными правами.
    По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
    Так же советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  11. #10
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    76
    Вес репутации
    34
    Muzzle
    Все понял, спасибо, но это не понимаю:
    Советую работать за компьютером под пользователем с ограниченными правами.
    как узнать, как я работаю, с ограниченными или нет ?!

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    панель управления --управления пользователями там можно посмотреть ваши учётные записи и их права.

  13. #12
    Junior Member Репутация
    Регистрация
    18.11.2007
    Сообщений
    76
    Вес репутации
    34
    Вообщем все классно, правдо все те программы, которые Вы сказали скачать: HiJackThis и так далее, у меня на рабочем столе были, я решил их переместить в отдельную папку, и чтобы оставить в документах своих, но блина, когда перемещаю пишет, что типо папка HiJackThis которую я распаковал из HiJackThis.zip мне пишет:
    "Переименование, перемещение или удаление папки HiJackThis может повлиять на работу некоторых программ. Вы действительно хотите сделать это ?"...в этой папке у меня находится:
    папка backups и hijackthis.exe, и hijackthis.log
    Если я их перемещу, может у меня снова вирус появиться ???
    Скажите можно перемещать или нет, пожалуйста ?!
    Ведь тупо на рабочем столе ее оставлять ?!

    С уважением Максим

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    можете переместить,вирус из за этого не появится

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Можно еще папку quarantine в AVZ почистить, чтобы "гноилище" малваре не создавать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\mmall2.exe - Trojan-Downloader.Win32.Agent.feg (DrWEB: Trojan.DownLoader.36532)


  • Уважаемый(ая) Stample, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. ip6fw.sys runtime.sys - заражены
      От katrisha в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 03:18
    2. runtime.sys, startdrv.exe и ip6fw.sys
      От vorbild в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 22.02.2009, 02:58
    3. ip6fw.sys | runtime.sys | runtime2.sy_
      От eizu в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:55
    4. Startdrv.exe, Ip6Fw.sys, runtime.sys
      От RoyalSpirit в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.10.2007, 04:30
    5. ip6fw runtime startdrv.exe
      От Av64 в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 30.08.2007, 04:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00439 seconds with 23 queries