ip6fw.sys

Здравствуйте, помогите пожалуйста разобраться с вирусом. При каждой загрузке системы NOD32 находит вирус [B]ip6fw.sys[/B].
Логи AVZ сделать не могу, т.к. все зависает. Пытался сделать эти логи из безопасного режима, но там появляется синий экран. Вроде бы ругается на файл [B]fastfat.sys[/B].
Могу выложить только лог Hijackthis.

Что-то подобное уже было не очень давно.
Попробуем закинуть "невод" наугад, может какая рыбка попадет ;)
Выполните такой скрипт в AVZ:
[code]
begin
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_QrSvc('NDnet1');
BC_QrSvc('ip6fw');
BC_QrSvc('pe386');
BC_QrSvc('poof');
BC_QrSvc('kprof');
BC_QrSvc('xpdt');
BC_QrSvc('xpdx');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки прикрепите файл boot_clr.log из папки с AVZ.

Скрипт выполнил, прикрепляю [B]boot_clr.log[/B].

Только что выполнил в безопасном режиме вот это:
"AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить".
AVZ нашел [B]startdrv.exe[/B].

Выслал все, что было в "карантине".

Кое-что прояснилось. Теперь такой скрипт:
[code]
begin
BC_DeleteFile('C:\Windows\temp\startdrv.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\Windows\system32\drivers\runtime2.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr2.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки прикрепите файл [I]boot_clr2.log[/I]
и попробуйте сделать логи в нормальном режиме.

[size="1"][color="#666686"][B]Добавлено через 3 минуты[/B][/color][/size]
[QUOTE]Только что выполнил в безопасном режиме вот это:
"AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить".
AVZ нашел startdrv.exe. [/QUOTE]

Да, я уже догадался, что он там есть.
Это [B]Trojan-Downloader.Win32.Agent.brk[/B].
Только без команды ничего не предпринимайте чтобы не создавать путаницу.

Все скрипты выполнил.

Добавьте лог программы HijackThis.

Добавил.

Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DelSPIByFileName('imon.dlll',true);
AutoFixSPI;
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте еще раз логи п.10-13 правил.

Сделал.

Теперь все чисто.
Можете еще пофиксить никому не нужный элемент автозапуска:
[code]
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
[/code]
и отключить службу Machine Debug Manager (по аналогичной причине).

Если что, заходите к нам еще ;).

MSIE: Unable to get Internet Explorer version!

похоже эксплореру пришёл каюк ;) Надо бы заменить на оригинальный.

Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию [/b](Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!

[B]Спасибо Вам большое![/B]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\temp\\startdrv.exe - [B]Trojan-Downloader.Win32.Agent.brl[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]