Лазил в Internete, подцепил Trojan.DownLoader.19481, DrWeb его удаляет. Перезагружаю ПК и опять: C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован Trojan.DownLoader.19481.
Незнаю как от него избавиться???????
Лазил в Internete, подцепил Trojan.DownLoader.19481, DrWeb его удаляет. Перезагружаю ПК и опять: C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован Trojan.DownLoader.19481.
Незнаю как от него избавиться???????
Последний раз редактировалось alek; 29.03.2007 в 15:56.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\HSFHWBS2.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\HSF_DP.sys',''); QuarantineFile('C:\WINDOWS\System32\main.sys',''); QuarantineFile('c:\windows\system32\ws2_32.dll',''); QuarantineFile('C:\STUD\5 курс\Электронный учебник_Охрана интеллектуальной собственности\autorun.exe',''); RebootWindows(false); end.
http://virusinfo.info/upload_virus.php?tid=8697
Последний раз редактировалось drongo; 29.03.2007 в 16:14.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Сделал как написано. Но в процессе проверки ПК перезагружается, так надо? После загрузки ПК появляется вирус опять. Сделал проверку заново. Файлы даны. Отправил Virus.zip. Что делать дальше? Подставлять в фун - ию взамен данного пути, подставлять другие или как?
так надо
Не терпеливый вы , однако
Если так не терпится можно удалить того, который уже прислали и он детектиться.
mayn.sys троянская программа Rootkit.Win32.Agent.el по касперу.
Последний раз редактировалось drongo; 29.03.2007 в 22:06.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Спасибо!!!!!!
Надеюсь Вы мне поможете в дальнейщем (избавиться от вируса).
Буду ждать ответа!!!!!!!!!
Надо еще поискать в AVZ autorun.*
Все, что найдется в карантин и прислать.
Off: Привет Тамбову! Служил в училище М.Расковой.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Значит так , после консультации с создателем самой AVZ, ака Олегом Зайцевым, чтобы скопировать неуловимый файлик
ws2_32.dll:for k2 , нужно выполнить следующий скрипт , комп перезагрузиться , Затем прислать нам его по правилам( http://virusinfo.info/upload_virus.php?tid=8697 ) для дальнейшего изучения. Он надеюсь будет единственный в карантине авз.
* Прикрепить к теме файл boot_clr.log из папки АВЗКод:begin SetAVZPMStatus(True); SearchRootkit(true, true); ClearQuarantine(); QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:for k2:$DATA',''); QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:for k2',''); DeleteFile('C:\WINDOWS\system32\main.sys'); DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_ImportDeletedList; // Чистка ссылок на удаленные файлы ExecuteSysClean; // Активация драйвера Boot Cleaner BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось drongo; 29.03.2007 в 22:20.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Обновленный Касперский от 26 марта лечит эту гадость, см соседнюю тему 8657.
Можно поставить его временно и пролечится.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Но вирус появляется опять. Так надо или пока до него мы не дошли?
А вот только не понимаю, почему AVZ определила эти файлы: autorun.exe, main.sys, HSFHWBS2.sys – всего где то их 16, как карантин (вирус). DrWeb не определял их как вирус или подозрение на вирус. Он только определил - Trojan.DownLoader.19481.
В дальнейшем Вы напишите функцию на него?
Сейчас всё разволилось. Остался только ВУЗ - СВЯЗЬ
Поищи autorun.* через AVZ. Их может быть много с разнообразными расширениями.
По поводу лечения трояна я написал рекомендацию. К сожалению, я не знаю опознает ли их обновленный Dr.Web.
P.S. О состоянии дел в Тамбове я в курсе, у меня там родственники живут.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Всё очень странно, опять только автораны
выполните этот скрипт:
Загрузите только файл virusinfo_8697_r2_quarantine.zip из каталога AVZ через форму http://virusinfo.info/upload_virus.php?tid=8697Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:fork2:$DATA',''); QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:fork2',''); CreateQurantineArchive(GetAVZDirectory+'virusinfo_8697_r2_quarantine.zip'); RebootWindows(true); end.
Последний раз редактировалось drongo; 30.03.2007 в 15:50.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
странно, но лаб каспера файлы autorun проигнорировала
Сейчас поправил скрипт ,выполните его
Последний раз редактировалось drongo; 30.03.2007 в 15:51.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Карантин надо отправлять по правилам.
Отсюда нужно удалить.
Как отправлять читай в Правилах в конце написано. или см. сообщение #7. Там есть ссылка на форму.
Про autorun. Запускаешь AVZ, там есть поиск файла на диске. Вбиваешь строчку autorun.* и запускаешь поиск. Если Что-то найдется, сделаешь лог и вышлешь сюда.
Про Тамбов написал в ЛС.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
virusinfo_8697_r2_quarantine.zip загружать только в: http://virusinfo.info/upload_virus.php?tid=8697
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Карантин удалил. Я его уже отправлял. Это я просто поместил на всякий случай. Сделал проверку, ничего не найдено!!!!!!
http://virusinfo.info/showpost.php?p...&postcount=113
Trojan.Win32.Pakes = ws2_32.dll:fork2
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Сделайте новые логи по правилам и прикрепите к теме, посмотрим что осталось.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2:$DATA'); DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось drongo; 30.03.2007 в 19:56.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Попробовал сделать проверку системы DrWeb снова. На всякий случай файл отчёта разместил. Может быть он вам потребуется? После того как я начал проверять систему программой AVZ, он проверил, перезагрузил ПК, появился C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован BackDoor.Bulknet.
Включил восстановление системы (как написано в правиле). DrWebего исцелил. Может быть это разновидность вируса который написан вверху???? Или он появляется когда отключено восстановление системы?????
Кое-что осталось и все вернулось на круги своя...
Выполните такой скрипт:
Компьютер перезагрузится. Приложите к теме файл 'boot_clr.log' из папки с AVZ и сделайте новые логи п.10 и 12 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2:$DATA'); DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2'); BC_DeleteSvc('EXAMPLE'); BC_DeleteSvc('Runtime'); BC_ImportDeletedList; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Вирус ни тот ни другой НЕ ПОЯВИЛИСЬ
Может быть они появятся потом???????
Хорошо бы нет
Уважаемый(ая) alek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.