-
Junior Member
- Вес репутации
- 61
ip6fw runtime startdrv.exe
Norton AntiVirus идентифицирует файлы ip6fw.sys и runtime.sys как Trojan.Pandex, а DrWeb CureIT (в безопасном режиме) удаляет их и еще файл C:\WINDOWS\TEMP\startdrv.exe, но при перезагрузке они вновь появляются. При этом очень быстро расходывается интернетовский трафик.
Очень надеюсь на Вашу помощь (протоколы прилагаю)
Последний раз редактировалось Av64; 07.10.2007 в 22:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Отключить антивирус и отключиться от интернета!
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xV8d7S7B.exe','');
QuarantineFile('C:\WINDOWS\system32\gnIJTQ61.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\system32\gnIJTQ61.exe');
DeleteFile('C:\WINDOWS\system32\xV8d7S7B.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил .... повторите логи...
Последний раз редактировалось V_Bond; 28.08.2007 в 22:54.
-
-
Junior Member
- Вес репутации
- 61
Высылаю логи после прогона скрипта
Последний раз редактировалось Av64; 07.10.2007 в 22:57.
-
Junior Member
- Вес репутации
- 61
Сначала мне показалось, что ничего не поменялось, но через некоторое время прекратилось пожирание интернетовского трафика
-
профиксите
Код:
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xV8d7S7B.exe','');
QuarantineFile('C:\WINDOWS\system32\gnIJTQ61.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\fppr232.dll','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\gnIJTQ61.exe');
DeleteFile('C:\WINDOWS\system32\xV8d7S7B.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ... повторите логи....
-
-
Junior Member
- Вес репутации
- 61
Высылаю логи после прогона скрипта
Не могу понять все время идет обращение к диску и в директории
C:\WINDOWS\TEMP созданы два файла с именами BIT????.tmp
(вместо ???? цифры) с размером 129560, в которых меняется время создания (складывается впечатление, что идет передача данных из одного файла в другой)
Последний раз редактировалось Av64; 07.10.2007 в 22:57.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\gnIJTQ61.exe');
DeleteFile('C:\WINDOWS\system32\xV8d7S7B.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи AVZ ...
-
-
Junior Member
- Вес репутации
- 61
Высылаю логи
Все равно на компе наблюдается активное обращение к диску
Последний раз редактировалось Av64; 07.10.2007 в 22:57.
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\home\Application Data\MSGSYS.EXE,
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\home\Application Data\MSGSYS.EXE','');
BC_ImportQuarantineList;
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Все сделал, карантин отправил
Вроде активное обращение к диску прекратилось
Последний раз редактировалось Av64; 29.08.2007 в 09:00.
-
C:\Documents and Settings\home\Application Data\MSGSYS.EXE Trojan-PSW.Win32.LdPinch.cfk
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\home\Application Data\MSGSYS.EXE');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
советую сменить пароли ...
повторите логи...
-
-
Junior Member
- Вес репутации
- 61
Высылаю логи
Пароли сменю попозже
Убегаю на работу
Последний раз редактировалось Av64; 07.10.2007 в 22:57.
-
1.Удалите все задания в планировщике задач виндоуса (те которые не сами ставили) Можно его совсем отключить, если не пользуетесь.
2.Эти два файла (сколько они весят то ? ) нужно переслать Олегу Зайцеву, чтобы посмотрел, по моему ложно срабатывание:
C:\WINDOWS\Installer\181df9.msi
C:\WINDOWS\Installer\181e00.msi
3.C:\windows\System32\Drivers\avshdfh3.SYS- от чего точно? даемон тулс ?
C:\WINDOWS\trailer.scr- желательно тоже прислать, а вдруг там скринсейвер с сюрпризом
-
-
Junior Member
- Вес репутации
- 61
Файлы Олегу Зайцеву пересылать также как я пересылал содержимое карантина или как-то по другому
-
e-mail Зайцева: newvirus<>z-oleg.com
Вместо <> @
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
1. Планировщик заданий был отключен, а вот в меню "Пуск > Панель управления > Назначенные задания" было много файлов (JOB??), которые я удалил.
Также было замечено, что иногда зависает меню "Пуск > Панель управления " (приходится удалять через Диспетчер задач).
2. Файлы 181df9.msi 181e00.msi в заархивированном виде занимают чуть больше метра.Пройдут они по почте на [email protected]?
Есть какие-то правила отправки или просто посылать и все?
3. Даемон тулс на компе установлен, но файла C:\windows\System32\Drivers\avshdfh3.SYS я не нашел. Так что не знаю к какой проге он относится.
Высылаю последние логи
Последний раз редактировалось Av64; 07.10.2007 в 22:57.
-
Сообщение от
Av64
3. Даемон тулс на компе установлен, но файла C:\windows\System32\Drivers\avshdfh3.SYS я не нашел. Так что не знаю к какой проге он относится.
Высылаю последние логи
Файл переименовывается при каждой перезагрузке компьютера.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
В логах чисто.
Те два файла .msi отправьте так же как карантин
(архив с паролем virus).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Файлы 181df9.msi 181e00.msi trailer.scr я сбросил на [email protected].
Добавлено через 11 минут
Так все таки как отправить или через загрузку файлов (как для карантина) или отправкой по електронной почте на адрес [email protected] в виде архива с паролем virus.
Последний раз редактировалось Av64; 29.08.2007 в 17:41.
Причина: Добавлено
-
по електронной почте на адрес [email protected] в виде архива с паролем virus
I am not young enough to know everything...
-