Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

ip6fw.sys runtime.sys - заражены (заявка № 16060)

  1. #1
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    60

    Thumbs up ip6fw.sys runtime.sys - заражены

    Здраствуйте, у меня стоит антивирус avast! и фаервол Comodo. avast! нашел уведомлять о заражении файлов ip6fw.sys и runtime.sys, они не лечатся и не удаляются, после того как нажимаю ничего не делать, комодо говорит, что некое приложение (например 12631500.exe, имена время от времени меняются) просит подключиться к интернету. так же аваст с помощью сканера электронной почты, проверяет очень большое кол-тво писем.
    Вот логи
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ati2mtag.sys','');
     QuarantineFile('C:\WINDOWS\system32\xRaidSetup.exe','');
     QuarantineFile('C:\WINDOWS\RaidTool\xInsIDE.exe','');
     QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Cyb60.sys','');
     QuarantineFile('C:\WINDOWS\system32\MSCORE.DLL','');
     QuarantineFile('c:\windows\system32\svchost.exe','');
     DeleteFile('C:\WINDOWS\System32\drivers\Cyb60.sys');
     DeleteFile('C:\WINDOWS\system32\xpdx.sys');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин по этой ссылке. Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    60
    скрипт выполнила, карантин отправила
    логи
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('Cyb60');
     QuarantineFile('C:\WINDOWS\System32\drivers\Cyb60.sys','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    Загрузите карантин по этой ссылке.

  6. #5
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    60
    скрипт выполнила
    карантин отправила
    сразу после перезуагрузки после скрипта, аваст обнаружил зараженный файл C:\WINDOWS\system32\smtpdrv.sys - Win32:Agent-LNK [Wrm]

    так же иногда комодо начаинет сообщать для всех приложений подключенных к интернету, что C:\WINDOWS\explorer.exe загрузил dinput.dll и спрашивает подключать ли их к и-нету. что с этим делать?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('Cyb60');
     DeleteFile('C:\WINDOWS\System32\drivers\Cyb60.sys');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи. Установочный диск Windows есть (это просто вопрос, систему сносить не надо!!!) ?

  8. #7
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    60
    скрипт сделал
    диск установочный тот с которого я ставила свою винду сейчас нету, но могу завтра найти, но есть другой с такой же версией, может быть такой подойдет?
    логи
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\Cyb60.sys');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пуск - Выполнить:
    Введите комадну: sfc /scannow
    Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.

    После этого сделайте свежий лог virusinfo_syscheck.zip.

  10. #9
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    60
    скрипт сделала
    проверку файлов тоже, восстановление не понадобилось
    вот лог
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\System32\MSCORE.DLL');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи.

  12. #11
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    60
    скрипт сделала
    вот логи
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Теперь практически чисто.

    Выполните такой скрипт:
    Код:
    begin
     BC_DeleteSvc('smtpdrv');
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от katrisha Посмотреть сообщение
    скрипт сделала
    вот логи
    Ура! Поздравляю! Сложность лечения была в том, что при удалении зловреда система больше не загружается. Нам получилось удалить злодея не повредив систему.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Вот вам урок на будущее Если бы вы под юзером в инете сидели тогда ваша гадость бы даже не смогла установиться.

  16. #15
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    60
    скрипт сделала
    из того что можно отключить, наверно только автозапус с сд пользуюсь, все остальное не надо

    и объясните мне пожалуйста, а то я не совсем поняла что бы значало "если бы вы под юзером сидели"? )

    только тут опять выскачило в комодо, что C:\WINDOWS\explorer.exe загрузил dinput.dll в родительское приложение explorer.exe, используя глобальную ловушку, которая может использоваться кейлоггерами для кражи частной информации. Вирус это или просто на это не обращать внимания?

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    end.
    Цитата Сообщение от katrisha Посмотреть сообщение
    только тут опять выскачило в комодо, что C:\WINDOWS\explorer.exe загрузил dinput.dll в родительское приложение explorer.exe, используя глобальную ловушку, которая может использоваться кейлоггерами для кражи частной информации. Вирус это или просто на это не обращать внимания?
    Не стоит обращать внимание.

  18. #17
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    60
    скрипт сделала, необходимо ли еще что нибудь?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Перезагрузитесь и сделайте лог syscheck (п.10 правил).
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    03.01.2008
    Сообщений
    12
    Вес репутации
    60
    лог
    Вложения Вложения

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все отлично. Лечение окончено .
    I am not young enough to know everything...

  • Уважаемый(ая) katrisha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. runtime.sys, startdrv.exe и ip6fw.sys
      От vorbild в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 22.02.2009, 02:58
    2. Троян Ip6Fw.sys, (runtime.sys)
      От Stample в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 02:56
    3. ip6fw.sys | runtime.sys | runtime2.sy_
      От eizu в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:55
    4. Startdrv.exe, Ip6Fw.sys, runtime.sys
      От RoyalSpirit в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.10.2007, 04:30
    5. ip6fw runtime startdrv.exe
      От Av64 в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 30.08.2007, 04:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00304 seconds with 20 queries