-
Junior Member
- Вес репутации
- 62
ip6fw.sys
McAfee в файле c:\windows\system32\drivers\ip6fw.sys регулярно находит Generic.RootKit.a. Лечит, но потом находит снова. DrWEB4.33 и KAV7 с последними базами аналогично лечат, но зараза появляется опять.
В связи с тем, что при сканировании AVZ в обычном режиме компьютер перезагружается все логи сделаны в безопасном режиме.
Последний раз редактировалось Yurii; 11.07.2008 в 08:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте дополнительный лог, как написано здесь.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Yurii; 11.07.2008 в 08:58.
-
выполните скрипт
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('\??\C:\fwdrv.sys','');
QuarantineFile('C:\Documents and Settings\All Users\?????????\Settings\arm32.dll','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 62
Карантин закачал:
070801_164753_virus_46b080f9f1710.zip
-
C:\WINDOWS\Temp\startdrv.exe Trojan-Downloader.Win32.Agent.brk
C:\WINDOWS\system32\ntos.exe PWS:Win32/Bankrypt.gen
больше ничего в карантин не попало ....
повторите пожалйста логи ....
-
-
Junior Member
- Вес репутации
- 62
В этот раз AVZ отработал в обычном (не в безопасном) режиме. Логи сделаны при работающем McAfee, поскольку он не отключается.
Последний раз редактировалось Yurii; 11.07.2008 в 08:58.
-
профиксите в хайджек
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\fwdrv.sys','');
QuarantineFile('C:\1\1.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Последний раз редактировалось V_Bond; 01.08.2007 в 18:20.
-
-
Junior Member
- Вес репутации
- 62
Скрипт отработал, в карантин попал только файл 1.exe - это новенький HJ, которого я на всякий случай переименовал. Кроме него в карантине пусто.
-
попробуйте через поиск AVZ .... найти fwdrv.sys и arm32.dll и пришлите со ссылкой на тему ... с паролем virus ... особенно интересует второй первый скорее от керио...
-
-
Junior Member
- Вес репутации
- 62
Пусто, AVZ ничего не нашел.
-
пожалуйста повторите логи ....
попробуйте так Мой Компьютер - Сервис - Свойства Папки - Вид -
1 Снять галочку скрывать защищённые системные файлы
2 Отметить показывать скрытые файлы и папки .... может найдется ...
-
-
Junior Member
- Вес репутации
- 62
Искал и в AVZ и в FAR, этих файлов нет.
Новые логи прилагаю.
Последний раз редактировалось Yurii; 11.07.2008 в 08:58.
-
профиксите
Код:
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\a rm32.dll (file missing)
ну и в качестве подстраховки ...(зловред наверняка уже убит)
1.запустите AVZ
2. AVZGuard-Включить AVZ Guard
3.Сервис-Менеджер автозапуска удалить строку с arm32.dll
4.перезагрузитесь не выходя из AVZ
.... больше проблем не видно ...
-
-
Junior Member
- Вес репутации
- 62
В HJ пофиксил, в Менеджере автозапуска строки с arm32.dll нет.
Наверное все чисто, поскольку раньше компьютер активно общался с инетом, а сейчас все тихо. Благодарю.
-
тогда лечение можем считать завершенным.....
рекомендуем прочитать http://security-advisory.newmail.ru/
Вы можете нас отблагодарить http://www.virusinfo.info/showthread.php?t=3519 ....
-