Fkxy84.sys

Здраствуйте.
При сканировании в AVZ все время находит такую штуку: Fkxy84.sys
При попытке удалить ее требует перезагрузку, после оной объект все равно остается.
А еще не смог выполнить пункт 8 Правил, я запускаю нужный скрипт, а комп перезагружается, при том довольно резко. поэтому добавляю все остальное.

Рискну предложить более радикальный modus operandi ;)

Выполните такой скрипт:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Fkxy84', 'Start');
RebootWindows(true);
end.[/code]
После перезагрузки еще один:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\Fkxy84.sys','');
QuarantineFile('C:\WINDOWS\System32\3BND40lJ.exe','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\mms32loclo.dll','');
DeleteFile('C:\WINDOWS\System32\mms32loclo.dll');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\3BND40lJ.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Fkxy84.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если оба скрипта выполнятся нормально, пришлите карантин по правилам и сделайте новые логи.

Нет :( скрипты не пошли, все еще ничего не получается. пришлю файл "avz_sysinfo.rar". его сделал в безопасном режиме как посоветовал кто-то, не вижу его ответа почему-то.

выполнил сканирование, теперь Fkxy84.sys не обнаруживается. но лог согласно пункту 8 правил все-равно не сохраняется.

Давайте попробуем так:
[code]
begin
BC_DeleteSvc('Fkxy84');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Fkxy84.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Затем повторите последний лог.

теперь получилось :)
Шлю заново все файлы.

Отлично! Теперь выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\System32\3BND40lJ.exe','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\mms32loclo.dll','');
DeleteFile('C:\WINDOWS\System32\mms32loclo.dll');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\3BND40lJ.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Удалите все задания в Планировщике (Панель управления - Назначенные задания).
Пришлите карантин согласно приложению 3 правил.
Сделайте еще раз логи (надеюсь, последний :))

virus.zip по правилам загружать надо тут:
[url]http://virusinfo.info/upload_virus.php?tid=15053[/url]
Из сообщения его уберите.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Попался только symavc32.sys - [b]Rootkit.Win32.Agent.kb[/b]
Все что надо успешно удалилось.

На всякий случай пришлите по правилам еще этот файл:
C:\Program Files\Internet Explorer\SETUPAPI.dll

И посмотрите, что вам нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
[/code]
Лишнее отключим.

А вообще, вот корень ваших бед:
[quote]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/quote]
Дырявая ваша системка. Уже SP3 на подходе - отстаете, товарищ! ;)

прошу прощения, налажал. :\

Ой, логи не надо было убирать ;)

- C:\Program Files\Internet Explorer\SETUPAPI.dll присылать тем же путем что и virus.zip?
- Про список не понял, что там выбрать? Я не знаю зачем нужны почти все службы из него, поэтому решите на свое усмотрение, что из него лучше отключить.
- винду поставили при покупке ПК год назад, не знаю почему SP1. скажите пожалуйста, как обновить до SP 2.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Пытался убрать только virus.zip. мне сказали что я не могу этого сделать, поэтому пришлось удалить все сообщение. при попытке снова загрузить логи пишет что они уже выложены и поэтому не получается загрузить их снова :(

1. Да.

2. Вот скрипт (оставил автозапуск CD и анонима для локалки):
[code]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
3. Лучше всего взять дистрибутив с интегрированным SP2 и накатить поверх вашей обновлением. Только имейте ввиду, что русская локализованная и MUI-шная версии несовместимы.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

P.S. И вот это очень рекомендую, только после установки SP2:
[url]http://poleznosti.ru/soft/file_catalog/?file_id=20060821091454[/url]
Подходит только для русской (не MUI-шной) XP.

Спасибо большое за помощь и советы. все сделал, осталось только винду обновить, чем собстно и займусь :)

SETUPAPI.dll - [b]Trojan-Spy.Win32.Webmoner.ew[/b]
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи, начиная с п.10 правил.

[size="1"][color="#666686"][B][I]Добавлено через 37 секунд[/I][/B][/color][/size]

Если вебмани пользуете, срочно меняйте пароль!

Вот новые логи.
к счастью вебмани не юзаю :)

Теперь порядок.
Обновляйтесь, и будет вам счастье ;)

Еще раз спасибо :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\symavc32.sys - [B]Trojan.Win32.Srizbi.gt[/B] (DrWEB: Trojan.NtRootKit.433)[*] \\setupapi.dll - [B]Trojan-Spy.Win32.Webmoner.ew[/B] (DrWEB: Trojan.PWS.Webmonier.30)[/LIST][/LIST]