ip6fw.sys

Printable View

17.11.2007, 14:58
bandot

Вложений: 3

ip6fw.sys

Добрый день. Касперским удалил вирусы, но с одним не может справится, при перезагрузке компьютера выскакивает сообщени обнаружено: потенциально опасное ПО Hidden object Процесс: C:\Program Files\Internet Explorer\iexplore.exe , после чего находит вирус :удалено: троянская программа Trojan-Downloader.Win32.Agent.acl Файл: c:\windows\system32\drivers\ip6fw.sys, при перезагрузке все повторяется.
Выполнил все операции описанные вами и прикрепил файлы. Жду инструкции по удалению . Спасибо.
17.11.2007, 15:00
Bratez

Выполните скрипт в AVZ:
[code]
begin
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Повторите логи.
17.11.2007, 15:15
Bratez

Карантин не сюда, а туда: [url]http://virusinfo.info/upload_virus.php?tid=14243[/url]
17.11.2007, 15:16
PavelA

Зачем гадость сюда прикреплять, хоть и обезвреженную. Для ее засылки есть ссылка: [url]http://virusinfo.info/upload_virus.php?tid=14243[/url]

Отсюда ее надо убрать.
17.11.2007, 15:17
bandot

закачал туда )))
17.11.2007, 15:24
drongo

bandot, так не удаляют, сначала удалять надо прикреплённый файл , а затем сообщение , иначе потом места не будет нужные файлы прикрепить.
17.11.2007, 15:30
bandot

Хорошо, что мне теперь делать? я не пойму, файл из карантина правильно загрузился или нет?
17.11.2007, 15:32
Bratez

Загрузился. Теперь новые логи нужны.
17.11.2007, 16:08
bandot

Вложений: 3

Вот новые
17.11.2007, 16:15
Bratez

Все нормально, осталось пофиксить в HijackThis:
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code]
Рекомендуется отключить все, что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Эта программа вам известна? -
C:\Program Files\ssClient\winclient\ssc.exe

Если нет - пришлите по правилам.
17.11.2007, 16:27
bandot

C:\Program Files\ssClient\winclient\ssc.exe да это сетевая программа, так ну пофиксел и перезагрузился, касперский молчит

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

А как отлючить службы? а даже не знаю , что это за службы ))
17.11.2007, 16:33
Bratez

Отключить можно всё вышеуказанное, вот этим скриптом:
[code]
begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '0');
[COLOR=red]RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);[/COLOR]
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
[COLOR=green]RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);[/COLOR]
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]
Если комп в локальной сети с использованием общего доступа к файлам, уберите красную строчку. Если автозапуск CD отключать неохота, уберите зеленую.
17.11.2007, 16:38
bandot

Спасибо
17.11.2007, 17:10
rubin

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
22.02.2009, 02:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]