Здравствуйте! Проблема в следующем, антивирус находит D:\Windows\system32\ip6fw.sys обзывая его Rootkit.Win32.Agent.dp, после удаления и перезагрузки появляется вновь и создает файлы *ld.exe
Printable View
Здравствуйте! Проблема в следующем, антивирус находит D:\Windows\system32\ip6fw.sys обзывая его Rootkit.Win32.Agent.dp, после удаления и перезагрузки появляется вновь и создает файлы *ld.exe
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
BC_QrSvc('runtime2');
BC_QrSvc('runtime');
BC_QrSvc('Ip6Fw');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('runtime');
BC_DeleteSvc('Ip6Fw');
BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сейчас напишу что дальше...
[size="1"][color="#666686"][B]Добавлено через 6 минут[/B][/color][/size]
Пофиксите в HijackThis:
[code]
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - AppInit_DLLs: e1.dll confjpg.dll jpgstat.dll confxxn.dll confjfg.dll jfgstat.dll con321.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('jpgstat.dll','');
QuarantineFile('jfgstat.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('confxxn.dll','');
QuarantineFile('confjpg.dll','');
QuarantineFile('confjfg.dll','');
QuarantineFile('con321.dll','');
RebootWindows(true);
end.[/code]
После перезагрузки пришлите весь карантин согласно приложению 3 правил.
Сделайте новые логи.
Закачал карантин, сделал логи, *ld.exe ломится в интернет, AVZ по прежнему определяет ip6fw.sys как Rootkit.Win32.Agent.dp .
Повторить скрипт Bratez (первый), см. ниже, в защищенном режиме (Safe Mode).
После него сделать логи в обычном режиме.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
BC_QrSvc('runtime2');
BC_QrSvc('runtime');
BC_QrSvc('Ip6Fw');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('runtime');
BC_DeleteSvc('Ip6Fw');
BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать boot_clr.log из директории AVZ.
Приготовить диск с дистрибутивом Виндовс. У Вас зараженный IE.
Скрипт повторил в защищенном режиме, выполнился с ошибкой. boot_clr.log не создался.
Не только не удалились, но и пытаются размножаться:
[QUOTE]D:\WINDOWS\Temp\331176.exe >>> подозрение на Rootkit.Win32.Agent.ey [/QUOTE]
[B]Удалите Process Explorer.[/B]
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\Temp\*.*');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('runtime');
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('runtime2');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки прикрепите boot_clr.log.
Удалил Process Explorer, скрипт по-прежнему выполняется с ошибкой '' invalid data type for " '', не перезагружается и не создает boot_clr.log
Так значит он не выполняется совсем! А номер строки/позиции в сообщении об ошибке указан? Напишите полностью текст сообщения. Самый первый скрипт (пост#2) так же вылетал?
Да, с первым скриптом тоже самое, в ошибке ни номера, ничего, только '' invalid data type for " ''
Не знаю, что и думать... Там все правильно. У меня AVZ при проверке синтаксиса пишет "Ошибок нет". Надеюсь, вы [URL="http://virusinfo.info/showthread.php?t=7239"]правильно делаете[/URL]? Хотя сделать как-то иначе по-моему сложно ;)
Попробуйте скачать AVZ заново.
Заново поставил AVZ, ситуация не изменилась, при проверке синтаксиса ошибок нет, а при выполнении '' invalid data type for " ''... Причем ошибка в 1 и 3 скрипте, 2-ой выполнился без проблем...
SearchRootkit(true, true); - Вот это в Safe Mode не срабатывает.
Может в этом ошибка.
[quote=PavelA;120729]SearchRootkit(true, true); - Вот это в Safe Mode не срабатывает.
Может в этом ошибка.[/quote]
Тоесть?
Попробуйте такой вариант:
[code]
begin
BC_QrSvc('runtime2');
BC_QrSvc('runtime');
BC_QrSvc('Ip6Fw');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('runtime');
BC_DeleteSvc('Ip6Fw');
BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('D:\WINDOWS\Temp\331176.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
[U]Если сообщения об ошибке не будет, то:[/U]
Прикрепите в тему файл [I]boot_clr.log [/I]из папки с AVZ.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Прислал карантин, сделал логи, прикрепил [I]boot_clr.log (сообщения об ошибке небыло).
[/I]
эти логи c AVZ ,были сделаны в нормальном режиме ?
Для чего вам драйвер D:\WINDOWS\system32\drivers\oreans32.sys , он обычно зловредами используется в своих целях.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
[/code]
P.S. у вас два виртуальных диска от алкоголя стоят?
Емул вместе с другими выключаемыми программами, кроме браузера нужно выключать перед выполнением правил.
[quote=drongo;121054]
Для чего вам драйвер D:\WINDOWS\system32\drivers\oreans32.sys , он обычно зловредами используется в своих целях.
[/quote]
Без понятия... Логи делал в нормальном режиме, скрипт не выполнился, ошибка '' invalid data type for ", помойму виртуальный диск только от Daemon tools...
[quote=megadeath;121116]Без понятия... Логи делал в нормальном режиме, скрипт не выполнился, ошибка '' invalid data type for ", помойму виртуальный диск только от Daemon tools...[/quote]
Тогда сохраните копию oreans32.sys, и удалите сам драйвер. Можно использовать отложенное удаление в AVZ.Если что перестанет работать, вернёте.
Я имел ввиду не от чего виртуальный диск, а сколько вы их сделали на своём компе? Объясню, у меня например один виртуальный диск сейчас, поэтому один драйвер в логе авз упоминаеться. У вас их два. Поэтому и спросил.
Насчёт скипта, загрузитесь в безопасном режиме и выполните такой :
[code]
begin
DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
[/code]
Удалял oreans32.sys в AVZ, случилась ошибка '' invalid data type for ", но файл вроде удалился, виртуальный диск один, а скрипт выполняется с ошибкой '' invalid data type for " (в безопасном режиме).
startdrv.exe по идее удалился еще в #14, так что просто пофиксите:
[code]O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe[/code]
Больше ничего плохого в логах не видно.
А вот что за ошибка со скриптами, так и не понятно. Там после слова [I]for[/I] совсем ничего нет?