Trojan.DownLoader.19481

Лазил в Internete, подцепил Trojan.DownLoader.19481, DrWeb его удаляет. Перезагружаю ПК и опять: C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован Trojan.DownLoader.19481.
Незнаю как от него избавиться???????

[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\HSFHWBS2.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\HSF_DP.sys','');
QuarantineFile('C:\WINDOWS\System32\main.sys','');
QuarantineFile('c:\windows\system32\ws2_32.dll','');
QuarantineFile('C:\STUD\5 курс\Электронный учебник_Охрана интеллектуальной собственности\autorun.exe','');
RebootWindows(false);
end.
[/code]
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].

[url]http://virusinfo.info/upload_virus.php?tid=8697[/url]

Сделал как написано. Но в процессе проверки ПК перезагружается, так надо? После загрузки ПК появляется вирус опять. Сделал проверку заново. Файлы даны. Отправил Virus.zip. Что делать дальше? Подставлять в фун - ию взамен данного пути, подставлять другие или как?

так надо:)
Не терпеливый вы , однако :)
Если так не терпится можно удалить того, который уже прислали и он детектиться.
mayn.sys троянская программа Rootkit.Win32.Agent.el по касперу.

Спасибо!!!!!!
Надеюсь Вы мне поможете в дальнейщем (избавиться от вируса).
Буду ждать ответа!!!!!!!!!

Надо еще поискать в AVZ [b]autorun.*[/b]
Все, что найдется в карантин и прислать.

Off: Привет Тамбову! Служил в училище М.Расковой.

Значит так , после консультации с создателем самой AVZ, ака Олегом Зайцевым, чтобы скопировать неуловимый файлик
ws2_32.dll:for k2 , нужно выполнить следующий скрипт , комп перезагрузиться , Затем прислать нам его по правилам( [url]http://virusinfo.info/upload_virus.php?tid=8697[/url] ) для дальнейшего изучения. Он надеюсь будет единственный в карантине авз.
[code]
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
ClearQuarantine();
QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:for k2:$DATA','');
QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:for k2','');
DeleteFile('C:\WINDOWS\system32\main.sys');
DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_ImportDeletedList;
// Чистка ссылок на удаленные файлы
ExecuteSysClean;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]

* Прикрепить к теме файл boot_clr.log из папки АВЗ

Обновленный Касперский от 26 марта лечит эту гадость, см соседнюю тему 8657.
Можно поставить его временно и пролечится.

[SIZE=3][FONT=Times New Roman] Но вирус появляется опять. Так надо или пока до него мы не дошли?[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3] [/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman] А вот только не понимаю, почему AVZ определила эти файлы: autorun.exe, main.sys, HSFHWBS2.sys – всего где то их 16, как карантин (вирус). DrWeb не определял их как вирус или подозрение на вирус. Он только определил - Trojan.DownLoader.19481.[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3] [/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman] В дальнейшем Вы напишите функцию на него? [/FONT][/SIZE]

Сейчас всё разволилось. Остался только ВУЗ - СВЯЗЬ

Поищи autorun.* через AVZ. Их может быть много с разнообразными расширениями.
По поводу лечения трояна я написал рекомендацию. К сожалению, я не знаю опознает ли их обновленный Dr.Web.

P.S. О состоянии дел в Тамбове я в курсе, у меня там родственники живут.

Всё очень странно, опять только автораны :(
выполните этот скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:fork2:$DATA','');
QuarantineFile('C:\WINDOWS\system32\ws2_32.dll:fork2','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_8697_r2_quarantine.zip');
RebootWindows(true);
end.
[/code]
[B]Загрузите только файл virusinfo_8697_r2_quarantine.zip из каталога AVZ через форму [/B][url]http://virusinfo.info/upload_virus.php?tid=8697[/url]

странно, но лаб каспера файлы autorun проигнорировала :(

Сейчас поправил скрипт ,выполните его :)

[color=red]Карантин надо отправлять по правилам.[/color]
Отсюда нужно удалить.
Как отправлять читай в Правилах в конце написано. или см. сообщение #7. Там есть ссылка на форму.

Про autorun. Запускаешь AVZ, там есть поиск файла на диске. Вбиваешь строчку autorun.* и запускаешь поиск. Если Что-то найдется, сделаешь лог и вышлешь сюда.

Про Тамбов написал в ЛС.

virusinfo_8697_r2_quarantine.zip загружать только в: [url]http://virusinfo.info/upload_virus.php?tid=8697[/url]

[COLOR=black][FONT=Verdana] Карантин удалил. Я его уже отправлял. Это я просто поместил на всякий случай. Сделал проверку, ничего не найдено!!!!!![/FONT][/COLOR]

[url]http://virusinfo.info/showpost.php?p=102004&postcount=113[/url]
Trojan.Win32.Pakes = ws2_32.dll:fork2
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2:$DATA');
DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

Сделайте новые логи по правилам и прикрепите к теме, посмотрим что осталось.

[FONT=Verdana] Попробовал сделать проверку системы [/FONT][FONT=Verdana]DrWeb[/FONT][FONT=Verdana] снова. На всякий случай файл отчёта разместил. Может быть он вам потребуется? После того как я начал проверять систему программой [/FONT][FONT=Verdana]AVZ[/FONT][FONT=Verdana], он проверил, перезагрузил ПК, появился C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован BackDoor.Bulknet. [/FONT]
[FONT=Verdana] [/FONT]
[FONT=Verdana] Включил восстановление системы (как написано в правиле). [/FONT][FONT=Verdana]DrWeb[/FONT][FONT=Verdana] [/FONT][FONT=Verdana]его исцелил. Может быть это разновидность вируса который написан вверху???? Или он появляется когда отключено восстановление системы????? [/FONT]

Кое-что осталось и все вернулось на круги своя...
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2:$DATA');
DeleteFile('C:\WINDOWS\system32\ws2_32.dll:fork2');
BC_DeleteSvc('EXAMPLE');
BC_DeleteSvc('Runtime');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Приложите к теме файл 'boot_clr.log' из папки с AVZ и сделайте новые логи п.10 и 12 правил.

Вирус ни тот ни другой НЕ ПОЯВИЛИСЬ:)

Может быть они появятся потом???????

Хорошо бы нет:)

В логах все чисто. Вот только надолго ли?
Учитывая это:
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
поручиться не могу 8).

Как понять надолго ли это? :? Что может в дальнейшем появиться????:? А причём вот это:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Судя по последнему сообщению сделать больше ничего нельзя

[QUOTE]Что может в дальнейшем появиться????[/QUOTE]
Вирусы, разумеется!

[QUOTE]А причём вот это:
Platform: Windows XP SP1 (WinNT 5.01.2600)[/QUOTE]
При том, что SP1 уже устарел, в нем множество уязвимостей.

[QUOTE]Судя по последнему сообщению сделать больше ничего нельзя[/QUOTE]
Почему нельзя? Можно и нужно. Поставить SP2 и последующие обновления. Только имейте ввиду, что после этого потребуется повторная активация Windows.

[FONT=Verdana] Вы справились с моей проблемой!!!!!! Наверно вы больше не будете присылать скрипты, т.к. вирус больше не появляется. Я последую в дальнейшем Вашим указаниям.:) [/FONT][FONT=Verdana][/FONT]
[FONT=Verdana] [/FONT]
[FONT=Verdana] Хотелось бы чтобы такая проблема больше не повторялась, но [/FONT][FONT=Verdana]Internet[/FONT][FONT=Verdana] есть [/FONT][FONT=Verdana]Internet[/FONT][FONT=Verdana].:embarasse [/FONT]
[FONT=Verdana] [/FONT]
[FONT=Verdana] Если ВСЁ, я бы хотел выразить благодарность порталу Вирус Инфо, создателю программы [/FONT][FONT=Verdana]AVZ[/FONT][FONT=Verdana] и всем помощникам кто уделял моей проблеме внимание.:) [/FONT]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]85[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\main.sys - [B]Rootkit.Win32.Agent.el[/B][*] c:\\windows\\system32\\ws2_32.dll:fork2 - [B]Trojan.Win32.Pakes[/B] (DrWEB: Trojan.MulDrop.5876)[*] c:\\windows\\system32\\ws2_32.dll:fork2:$data - [B]Trojan.Win32.Pakes[/B] (DrWEB: Trojan.MulDrop.5876)[/LIST][/LIST]