Показано с 1 по 13 из 13.

проблема с ip6fw.sys, runtime2.sys и IEXPLORE.EXE (заявка № 12090)

  1. #1
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    17
    Вес репутации
    38

    Thumbs up проблема с ip6fw.sys, runtime2.sys и IEXPLORE.EXE

    Проблема такова: др. Вебом находится ip6fw.sys инфицированный каким то трояном - удаляется, но после перезагрузки появляется снова. С помощью Gmer (антитроян) обнаруживается скрытый сервис runtime2.sys и процесс IEXPLORE.EXE. В интернете при этом летит входящий и иcходящий трафик. Прошу о помощи. Заранее благодарю!
    Последний раз редактировалось grad_19; 02.09.2007 в 23:11.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    1. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_QrFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    2. Сразу после выполнения первого и перезагрузки - выполнить:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DelCLSID('33331111-1111-1111-1111-615111193427');
     QuarantineFile('C:\Program Files\MATLAB704\toolbox\vipblks\vipmex\sviphoughlines.dll',''); SetAVZGuardStatus(true);
     QuarantineFile('\SystemRoot\System32\drivers\hl_mull.SYS','');
     QuarantineFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     ClearHostsFile;
     BC_ImportALL;
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

    3. После выполнения всего вышеуказаного - сделайте логи заново.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    17
    Вес репутации
    38
    Прикрепил карантин. Вставляю новые логи...
    Что скажете?
    Последний раз редактировалось grad_19; 02.09.2007 в 23:11.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    C:\WINDOWS\System32\DRIVERS\smtpdrv.sys - Email-Worm.Win32.Agent.l
    (по Касперскому),второй файл оторый попал в карантин чистый

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RemoteRegistry', 4);
     DeleteFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys');
     BC_DeleteFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    Повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    17
    Вес репутации
    38
    Все сделал, но почему то не получается прикрепить логи через управление вложениями, пишет "ошибка загрузки". Как прикрепить по другому?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    удалите более ранние логи и попробуйте ...

  8. #7
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    17
    Вес репутации
    38
    Прикрепил новые логи...
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах ничего подозрительного не вижу ....
    из этого что вам нужно ?
    Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    будем закрывать потенциальные уязвимости?

  10. #9
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    17
    Вес репутации
    38
    Перечисленные службы поотключал через панель управления-администрирование-службы. А вот это:

    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    будем закрывать потенциальные уязвимости?

    Где эти доступы закрыть можно? что-то не найду

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    да в логе же, который приложили всё уже готово- только нажать надо
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.

  12. #11
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    17
    Вес репутации
    38
    Все сделал, большое спасибо за помощь!

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\smtpdrv.sys - Email-Worm.Win32.Agent.l (DrWEB: Trojan.NtRootKit.360)


  • Уважаемый(ая) grad_19, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 31
      Последнее сообщение: 22.02.2009, 02:43
    2. Ответов: 14
      Последнее сообщение: 22.02.2009, 02:21
    3. ip6fw.sys | runtime.sys | runtime2.sy_
      От eizu в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:55
    4. runtime2.sys и ip6fw.sys
      От BarsukovAV в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.07.2007, 17:06
    5. Зараза: runtime2.sys ip6fw.sys
      От antivor в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.07.2007, 06:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00260 seconds with 17 queries