Printable View
Помогите избавиться от твари. Постоянно создает трафик. При входе в систему всегда открывается окно "Настройка системы".
KAV определяет как RootKit.Win32.Agent.dp, все время находит зараженный файл ip6fw.sys, при после загрузки пишет, что Internet Explorer заражен потенциально опасным ПО.
Заранее благодарен.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
QuarantineFile('C:\RECYCLER\NPROTECT\00000120.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\RECYCLER\NPROTECT\00000120.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....
Я попоробовал выслать карантин. Можно узнать все ли в порядке?
IE чистый, остальное должно было удалиться скриптом.
Сделайте новые логи, посмотрим, не осталось ли чего.
Высылаю новые логи. По-моему эта зараза еще сидит. После каждой перезагузки открывается предупреждение что программой "Настройка системы" внесены изменения в загрузку Windows.
А по-моему, все чисто. Только Norton Protect охраняет то что не надо.
Выполните скрипт:
[code]
begin
DeleteFile('C:\RECYCLER\NPROTECT\00002808.sys');
DeleteFile('C:\RECYCLER\NPROTECT\00002675.sys');
end.[/code]
и пофиксите:
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE]После каждой перезагузки открывается предупреждение что программой "Настройка системы" внесены изменения в загрузку Windows.[/QUOTE]
А там случайно нет флажочка типа "Не запускать больше это окно при перезагрузке"?
Вроде как зараза погибла. Большое спасибо!
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\nprotect\\00000120.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[*] c:\\windows\\system32\\drivers\\ip6fw.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[*] c:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: Trojan.NtRootKit.321)[/LIST][/LIST]