Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

ip6fw.sys runtime.sys - заражены (заявка № 16060)

  1. #1
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    33

    Thumbs up ip6fw.sys runtime.sys - заражены

    Здраствуйте, у меня стоит антивирус avast! и фаервол Comodo. avast! нашел уведомлять о заражении файлов ip6fw.sys и runtime.sys, они не лечатся и не удаляются, после того как нажимаю ничего не делать, комодо говорит, что некое приложение (например 12631500.exe, имена время от времени меняются) просит подключиться к интернету. так же аваст с помощью сканера электронной почты, проверяет очень большое кол-тво писем.
    Вот логи
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ati2mtag.sys','');
     QuarantineFile('C:\WINDOWS\system32\xRaidSetup.exe','');
     QuarantineFile('C:\WINDOWS\RaidTool\xInsIDE.exe','');
     QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Cyb60.sys','');
     QuarantineFile('C:\WINDOWS\system32\MSCORE.DLL','');
     QuarantineFile('c:\windows\system32\svchost.exe','');
     DeleteFile('C:\WINDOWS\System32\drivers\Cyb60.sys');
     DeleteFile('C:\WINDOWS\system32\xpdx.sys');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин по этой ссылке. Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    33
    скрипт выполнила, карантин отправила
    логи
    Вложения Вложения

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('Cyb60');
     QuarantineFile('C:\WINDOWS\System32\drivers\Cyb60.sys','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    Загрузите карантин по этой ссылке.

  6. #5
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    33
    скрипт выполнила
    карантин отправила
    сразу после перезуагрузки после скрипта, аваст обнаружил зараженный файл C:\WINDOWS\system32\smtpdrv.sys - Win32:Agent-LNK [Wrm]

    так же иногда комодо начаинет сообщать для всех приложений подключенных к интернету, что C:\WINDOWS\explorer.exe загрузил dinput.dll и спрашивает подключать ли их к и-нету. что с этим делать?

  7. #6
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('Cyb60');
     DeleteFile('C:\WINDOWS\System32\drivers\Cyb60.sys');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи. Установочный диск Windows есть (это просто вопрос, систему сносить не надо!!!) ?

  8. #7
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    33
    скрипт сделал
    диск установочный тот с которого я ставила свою винду сейчас нету, но могу завтра найти, но есть другой с такой же версией, может быть такой подойдет?
    логи
    Вложения Вложения

  9. #8
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\Cyb60.sys');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пуск - Выполнить:
    Введите комадну: sfc /scannow
    Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.

    После этого сделайте свежий лог virusinfo_syscheck.zip.

  10. #9
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    33
    скрипт сделала
    проверку файлов тоже, восстановление не понадобилось
    вот лог
    Вложения Вложения

  11. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\System32\MSCORE.DLL');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи.

  12. #11
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    33
    скрипт сделала
    вот логи
    Вложения Вложения

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Теперь практически чисто.

    Выполните такой скрипт:
    Код:
    begin
     BC_DeleteSvc('smtpdrv');
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  14. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от katrisha Посмотреть сообщение
    скрипт сделала
    вот логи
    Ура! Поздравляю! Сложность лечения была в том, что при удалении зловреда система больше не загружается. Нам получилось удалить злодея не повредив систему.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Вот вам урок на будущее Если бы вы под юзером в инете сидели тогда ваша гадость бы даже не смогла установиться.

  16. #15
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    33
    скрипт сделала
    из того что можно отключить, наверно только автозапус с сд пользуюсь, все остальное не надо

    и объясните мне пожалуйста, а то я не совсем поняла что бы значало "если бы вы под юзером сидели"? )

    только тут опять выскачило в комодо, что C:\WINDOWS\explorer.exe загрузил dinput.dll в родительское приложение explorer.exe, используя глобальную ловушку, которая может использоваться кейлоггерами для кражи частной информации. Вирус это или просто на это не обращать внимания?

  17. #16
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    end.
    Цитата Сообщение от katrisha Посмотреть сообщение
    только тут опять выскачило в комодо, что C:\WINDOWS\explorer.exe загрузил dinput.dll в родительское приложение explorer.exe, используя глобальную ловушку, которая может использоваться кейлоггерами для кражи частной информации. Вирус это или просто на это не обращать внимания?
    Не стоит обращать внимание.

  18. #17
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    33
    скрипт сделала, необходимо ли еще что нибудь?

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Перезагрузитесь и сделайте лог syscheck (п.10 правил).
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    33
    лог
    Вложения Вложения

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Все отлично. Лечение окончено .
    I am not young enough to know everything...

  • Уважаемый(ая) katrisha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. runtime.sys, startdrv.exe и ip6fw.sys
      От vorbild в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 22.02.2009, 02:58
    2. Троян Ip6Fw.sys, (runtime.sys)
      От Stample в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 02:56
    3. ip6fw.sys | runtime.sys | runtime2.sy_
      От eizu в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:55
    4. Startdrv.exe, Ip6Fw.sys, runtime.sys
      От RoyalSpirit в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.10.2007, 04:30
    5. ip6fw runtime startdrv.exe
      От Av64 в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 30.08.2007, 04:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00143 seconds with 22 queries