ip6fw.sys - проблема с лечением

Здравствуйте!

Почитал ряд тем, в которых упоминается данный файл, но не нашел случая, полностью схожего с моими симптомами. NOD32 обнаружил и обезвредил
26.05.2007 14:35:33 Kernel file C:\WINNT\system32\drivers\ip6fw.sys a variant of Win32/Rootkit.Agent.DP trojan

Однако, данный файл продолжает заменяться вирусом. В случае удаления, система восстанавливает на его место чистый вариант, однако после перезагрузки вирус возвращает на место зараженный файл. Также в директории C:\WINNT\system32\drivers\ присутствует файл runtime2.sy_, который невозможно удалить еормальными способами - система выдает ошибку Cannot delete file - cannot read from source file or disk. ZoneAlarm при каждом запуске предупреждает о попытке internet explorer отправить почту на адрес 194.67.23.20:25, которую я пресекаю.

Прилагаю необходимые файлы - буду очень признателен за помощь.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_QrSvc('runtime2');
BC_QrFile('C:\WINNT\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Потом ещё один [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\LiveVision\aChat\LCClient.ocx','');
QuarantineFile('C:\WINNT\Downloaded Program Files\npSeaTools_EN.dll','');
QuarantineFile('C:\WINNT\Downloaded Program Files\sysreqlab.dll','');
QuarantineFile('C:\WINNT\system32\fppmon2.dll','');
QuarantineFile('C:\WINNT\System32\thumbvw.dll','');
QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\8D.tmp','');
QuarantineFile('C:\WINNT\System32\drivers\runtime.sys','');
QuarantineFile('\SystemRoot\system32\drivers\ip6fw.sys','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\8D.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.

As requested - updated logs.

Вроде бы помогло - по крайней мере IE перестал пытаться слать почту.

Пожалуйста, напишите мне, если Вам кажется, что нужно исправить что-то еще...

Терпение. У Вас ещё много заразы. Как только придет результата анализа файлов, так только дам дальнейшие рекомендации.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] пока ещё один скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\Temp\startdrv.exe');
ExecuteSysClean;
RebootWindows(false);
end.[/CODE]

Вы меня так не пугайте :)) ZA+NOD хоть от чего-нибудь должны же защищать? ;)

P.S.
fppmon2 = PDF Factory
npSeaTools_EN.dll = Seagate HDD Tools

[code]RebootWindows(false);
end.[/code][/quote]

Почему-то система все равно перезагрузилась после выполнения скрипта...

[quote]Вы меня так не пугайте ) ZA+NOD хоть от чего-нибудь должны же защищать?[/quote]К сожалению это печальная правда. :( Антивирусы и файрволы бесполезны. Лично я не пользуюсь ни тем ни другим, но Вам не следует поступать также. У меня другие средства защиты. ;)
[QUOTE]Почему-то система все равно перезагрузилась после выполнения скрипта...[/QUOTE]Так и должно быть. ;) Просто перезагрузиться должна была не много быстрее чем обычно.

Как там дела - прогресс с заразой есть? Или не приставать? :)

Странно, но вирусный аналитик сказал, что все файлы в карантине чистые :) Проблема решена?

Наверное :) Часть из них, правда, в карантин и не попала, т.к. видимо была удалена вручную ранее, либо прячется :)

Да нет. В карантин попали все подозреваемые. Проблема решена?

Думаю, что да - по крайней мере, подозрительных действий не замечено.
Спасибо большое :)

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!

После дальнейшего рассмотрения симптомов и логов АВЗ, меня мучают смутные сомнения, что мы убрали не все.

Во-первых, ко мне на компьютер периодически ломится TCP ZELIARD:1443 213-155-151-143.customer.teliacarrier.com:http
TIME_WAIT (данные netstat). При этом ZoneAlarm не указывает данный IP в firewall alerts (ни как allowed, ни как blocked).

Во-вторых, в логах АВЗ (kernel mode) присутствует драйвер [COLOR=#800080]\SystemRoot\System32\Drivers\ap170ujw.SYS[/COLOR], который я не могу найти (без описания). На всякий случай прилагаю дамп данного драйвера.

Что посоветуете еще сделать?

[QUOTE]Во-первых, ко мне на компьютер периодически ломится[/QUOTE]Если ломятся к Вам - это не так страшно, а вот если от Вас...
[QUOTE]Во-вторых, в логах АВЗ[/QUOTE]Сделайте ещё раз логи. daemon tools или ему подобные на компьютере не установлены?

Вроде бы разобрался. 213-155-151-153 - это IP ZoneAlarm, с которого он скачивает updates, шлет информацию итд

Так что, наверное, пока все. Daemon Tools, разумеется, стоит :)

Еще раз спасибо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\internet explorer\\iexplore.exe - [B]Trojan.Win32.Patched.j[/B][*] c:\\winnt\\system32\\drivers\\ip6fw.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[/LIST][/LIST]