Troyan.Pandex ip6fw.sys

Подскажите, пожалуйста, возможно ли избавиться от этого вируса без
переустановки операционной системы или форматирования диска. Прилагаю последний лог AVZ.

Описание похожего вируса нашел на сайте Семантек-
[URL="http://www.symantec.com/security_response/writeup.jsp?docid=2007-042001-1448-99&tabid=2"][COLOR=#800080]http://www.symantec.com/security_response/writeup.jsp?docid=2007-042001-1448-99&tabid=2[/COLOR][/URL], но предложенное там лечение вируса не помогло.

Пробовал различные антивирусный программы, включая AVZ, но они
либо пропускают пораженный файлы (ip6fw.sys и др.) либо отправляют
их в карантин до следующей перезагрузки ОС и подключения к сети.

Вирусные ключи реестра также восстанавливаются с перезагрузкой,
несмотря на удаления в Безопасном режиме.

Большое спасибо за совет.

С уважением,
Антон

Выполните логи как сказано в правилах и мы всё почистим :)
[url]http://virusinfo.info/showthread.php?t=1235[/url]

Беда- в течение нескольких секунд после начала исполнения скрипта пункта 8, компьютер перезагружается и начинает Disks Consistency Check. Затем грузит Винд, и выскакивает Оправка отчета об ошибке

[B]agafonov74[/B], выполните правила начиная с пункта 10, только перед этим отключите восстановление системы.

ОТклчючил восстановление, запустил АВЗ со скрптом из пункта 10- скриппт вроде полностью прогнался, но по завешении ноут снова перезагрузился, появилось ОТчет об отправки с ошибкой с описанием:

BCCode : 1000000a BCP1 : 00000054 BCP2 : 00000002 BCP3 : 00000001
BCP4 : 804DBC8E OSVer : 5_1_2600 SP : 2_0 Product : 768_1

папка ЛОГ появилась но файла в ней нет

Применим тяжелую артиллерию. ;)

Закройте все программы.
Отключитесь от Интернета.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил)
Попробуйте сделать логи еще раз. С логом Hijaсkthis тоже проблемы?

Большое спасибо за ответ
я сумел добыть логи, но в Безопасном режиме, они подойдут или нужно только в обычном режиме ???
лог пункта 8- в Безоппасном режиме
лог пункта 10 и хайджек- в Безопасном с подключением сетевых драйверов

В папке AVZ, кроме 2 архивов и 2 html, появился пустой архив virusinfo_cure размером 1 Кб. Так и должно быть?

рекомендованный Вами скрипт пока не запускал

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

пробовал рекомендации сайта Симантека ранее, но не помогло, драйвера и реестрового ключа NetDetect не было, только ip6fw.sys, ну и ключ Runtime восстанавливается с каждой перезагрзкой как в CurrentControlSet/Services...., так и в ControlSet001/Services....

Логи посмотрел, к сприпту добавить нечего. Выполняйте как есть.

[QUOTE='agafonov74;128363']появился пустой архив virusinfo_cure размером 1 Кб. Так и должно быть?[/QUOTE]Да.

[QUOTE='AndreyKa;128370']Логи посмотрел, к сприпту добавить нечего. Выполняйте как есть.[/QUOTE]

Скорее всего машина уйдет в бсод после этой строки:

[QUOTE]SearchRootkit(true, true);[/QUOTE]

Я бы рекомендовал её убрать.

скрипт прогнал без строки SearchRootkit(true, true);
машина перезагрузилась с проверкой дисков на консистенси, после загузки ОС -обычное предложение отправить отчет о восстановлении после ошибки
затем AVG опять обнаружил 2 файла- эгзешный в Local Settings\Temp, ну и ip6fw.sys, которые потом проличил и убрал а волт
после этого откыл АВЗ для посмотра карантина- он пуст, попробовал Автозагрузку (наверно не стоило этого делать) и машинв снова ушла в перезагруз
попробовать получить логи в обычном режиме с отключением от инета и запуском браузера?

[B]agafonov74[/B], у вас на диске С: файловая система FAT32?
Может, настал момент когда надо ее в NTFS переконвертировать?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Попробуем еще облегчить скрипт:
[code]
begin
SetAVZGuardStatus(True);
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(false);
end.
[/code]

С таким скриптом перезагрузка как пройдет?

диск С нтфс, диск Д- фат

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

второй скрипт прошел- изменилась заставка соранение параметров перед отклбчением и первая заставка (прошивка, кажется ????) сразу после включения. При исполнении первого скрипта-никаких сохранений параметров не выскакивало- проббегало несколько командный строк и комп отключался
сейчас после перезагрузки никаких сообщений об ошибке или вирусе не выскочило, единственно пришлось руками установить соединение с инетом (обычно оно автоматом устанавливается)
пробовать получить АВЗ логи????

Да логи нужны, и содержимое карантина пришлите.

вроде карантинные файлы отправились, я конвернтул рар в зип
сейчас пробую получить логи через AVZ

В присланном карантине (15 МБ) нет ничего из того, что хотелось бы в нем увидеть. Это довольно странно, так как нет даже bcqr0000*.ini файлов.

На этот раз все скрипты выполнились в обычном режиме без проблем
Если позволите, пара вопросов-

1) в папке ЛОГ появился virusinfo_cure.zip теперь уже 15 мегов. Что с ним делать

2) в реестре появились изменения-
в обоих разделах ControlSet001/Services и CurrentControlSet/Services
по-прежнему есть ключи Runtime правда там внутри другие значения-
было что-то вроде /.../C:/Windows/system32/drivers/ip6fw.sys, а теперь что-то вроде Root/LegacyRuntime/0000
Кроме этого добавились ключи Runtime2
В ControlSet002/Services тоже есть runtime и runtime2, но внутри пусто.
Это нормально?

3) В нормальных условиях файл ip6fw.sys- Майкрософтный файрволный драйвер. Сейчас я его не нахожу. Без него можно жить или как-то нужно его восстанавливать?

Про реестровые ключи я спрашиваю потому, что наличие ключа HKEY_LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\Runtime формально считается показателем пристуствия вируса

1. Удалите.
2. Нормально.
3. Можно без него.

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code]
Выполните скрипт в AVZ:
[code]begin
BC_DeleteSvc('WZCSVCRpcLocator');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки повторите лог HijackThis.

подскажите, пожалуйста, где именно в ХайДжек я должен запустить строку
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe