Доброго времени суток
неубиваецо никак
ip6fw.sys
нид хелп:'-(
очень похоже на [url]http://virusinfo.info/showthread.php?t=13120[/url]
Printable View
Доброго времени суток
неубиваецо никак
ip6fw.sys
нид хелп:'-(
очень похоже на [url]http://virusinfo.info/showthread.php?t=13120[/url]
Пофиксите в HijackThis:
[code]
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/web_games/popcap/bejeweled2/popcaploader_v6.cab
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
всё сделал, жду дальнейших указаний
Карантин пустой.
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин по правилам.
(архивировать при выключенном антивирусе).
прислал карантин...
(антивирус был выключен. вроде...)
Скушал антивирус файл еще раз.
Перед выполнением скрипта надо остановить вот этот сервис:
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
Можно сделать так: Пуск - Выполнить -- sc stop NOD32krn, нажать "Ок"
И опять пусто.
Вообще-то AVZ не определяет ваш ip6fw.sys как зловреда.
Есть мнение, что он чист. Или НОД на него ругается?
В карантине код копирования этого файла 0. Вроде бы это успешная операция.
В принципе не мудрствуя лукаво, его можно удалить. И даже если он чист, вы ничего не потеряете. Просто хотелось получить образец, на случай если это свежая модификация известного руткита.
Попробуйте его вручную заархивировать в безопасном режиме.
И еще, прежде чем удалять, на всякий случай гляньте в свойствах сетевых подключений список компонентов, не установлен ли там протокол IPv6. Если установлен - удалите кнопочкой, он на самом деле не нужен.
А вот скрипт для удаления файла:
[code]
begin
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
пардон, вчера вырубили интернет сетевики...
отключил антивирь, сохранил карантин и прислал...
антивирь уже не ругается, спасибо за помощь.
не подскажете, как этого в будущем избежать? мне тут сказали, что это уже не первый случай подобных проблем.
кстати на соседней машине похожие симптомы, и прибегал сисадмин... ругался что из-за наших машин у него какие-то нелады...
Карантин опять пустой, причем вчерашний, те же ini-файлики.
А просто взять конкретно этот файл и сархивировать вручную?
Или удалили уже?
не, пока не удалил...
прислал.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
да, на соседней машине тот же самый зверь, по крайней мере НоД ругается 1 в 1...
скрипты для лечения на той машине сработают, или нужны новые?
Не зря его удалили. BackDoor.Bulknet по Доктору.
Для удаления скрипт в сообщении #9.
С другого компьютера нужны логи, причем в отдельную тему.
Лечение дается индивидуально.
после выполнения скрипта на удаление файла, опять кричит антивирь... он пожоже откуда то восстанавливается...
Удаляй в Safe Mode.
спасибо, удалил в safe mode. вроде не шумит...
Потом свежий комплект логов надо сделать.
не могу аплоадить логи...
[quote]Ошибки загрузки[/quote]
вроде подгрузились...
Что-то логи не стыкуются. :( В AVZ одно, в хиджаке другое.
Очень похоже, что логи AVZ старые.
обновил только что скрипты...
в логах чисто ...
осталось разобраться с этим ...
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
спасибо
чем из всего перечисленного пользуетесь остальное поможем закрыть ...
всё закрыл, огромное спасибо за помощь
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\ip6fw.sys - [B]Trojan-Downloader.Win32.Agent.acl[/B] (DrWEB: Trojan.NtRootKit.319)[/LIST][/LIST]