Outpost ругается на парочку вредителей

[mcc_1]

c:\windows\system32\6_exception.nls - говорит что Agent(rootkit)

c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\0de34567\install[1].exe - Packet/SFG(подозрительный)

c:\windows\system32\drivers\ip6fw.sys - говорит что заражен Rootkit.Pandex.Gen.2(мутант)

c:\windows\system32\sysfldr.dll - говорит что Clicker(Trojan)

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Yfk03', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
 QuarantineFile('C:\WINDOWS\Yfk03.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Yfk03.sys','');
 QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
 DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
 DeleteFile('C:\WINDOWS\Yfk03.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Yfk03.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Yfk03');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

[mcc_1]

Скрипт не проходит, появляется ошибка : failed to set data for "DisplayName"

[rubin]

На время выполнения скрипта остановите и выгрузите Agnitum Outpost

[mcc_1]

OutPost и так выгружен, скрип все равно не проходит....

[Bratez]

Попробуйте в безопасном режиме.

[mcc_1]

Карантин отправлен...

[Bratez]

Карантин пуст.
Логи сейчас гляну.

[mcc_1]

to Bratez Дайте пожалуйста ссылку для загрузки карантина ..я отправлю еще раз...

[Bratez]

Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Yfk03', 'Start');
 RebootWindows(true); 
end.

После перезагрузки второй:

Код:

begin
ClearQuarantine;
BC_QrSvc('Yfk03');
BC_QrFile('C:\WINDOWS\Yfk03.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\Yfk03.sys');
BC_QrFile('C:\WINDOWS\System32\Drivers\sptd.sys');
BC_DeleteSvc('Yfk03');
BC_DeleteFile('C:\WINDOWS\Yfk03.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Yfk03.sys');
BC_Activate;
RebootWindows(true);
end.

Пришлите новый карантин и повторите лог syscheck (п.10 правил).

Добавлено через 47 секунд

Карантин грузить тут:
http://virusinfo.info/upload_virus.php?tid=15724

[mcc_1]

Карантин отправлен....

[V_Bond]

скачать ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\drivers\Yfk03.sys - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
...
ну и новые логи ...

[mcc_1]

Вышеупомянутые действия выполнены...

[rubin]

Отключите антивирус и файерволл, выполните скрипт:

Код:

var
 i,j:integer;
 fname:string;
 param:string;
 param1:string;
begin
 ClearQuarantine;
 for i:=Ord('a') to Ord('z') do
  for j:=Ord('a') to Ord('z') do
  begin
   fname:='sp'+Chr(i)+Chr(j)+'.sys';
   if fname<>'sptd.sys' then
   begin
param:='C:\Windows\system32\drivers\'+fname;
param1:='C:\Windows\system32\'+fname;
QuarantineFile(param,'');
QuarantineFile(param1,'');
DeleteFile(param);
DeleteFile(param1);
   end;
  end;
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Карантин пришлите по правилам

[mcc_1]

Карантин отправлен....

[rubin]

Повторите virusinfo_syscheck.zip - в карантине только ini файлы...

[mcc_1]

..

[rubin]

Попробуем так.
Откроем AVZ - Сервис - Модули пространства ядра
Там будет некий sp??.sys с базовым адресом F8416000 и размером в памяти 0FE000 (1040384).
Выделите его, нажмите кнопками вверху - "Копировать в карантин" и "Снять дамп памяти текущего модуля".
Файл - Просмотр карантина - нужный нам файл в карантине архивируете и присылаете.
Затем присылаете архив файла .dmp в папке DMP каталога AVZ

[mcc_1]

Попробую в безопасном режиме, так не проходит...

Затем присылаете архив файла .dmp в папке DMP каталога AVZ

Прислать как вложение?..

[rubin]

Можно и так, в нем ничего опасного нет