проблема с ip6fw.sys, runtime2.sys и IEXPLORE.EXE

[grad_19]

Проблема такова: др. Вебом находится ip6fw.sys инфицированный каким то трояном - удаляется, но после перезагрузки появляется снова. С помощью Gmer (антитроян) обнаруживается скрытый сервис runtime2.sys и процесс IEXPLORE.EXE. В интернете при этом летит входящий и иcходящий трафик. Прошу о помощи. Заранее благодарю!

[Kuzz]

1. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_QrFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2. Сразу после выполнения первого и перезагрузки - выполнить:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DelCLSID('33331111-1111-1111-1111-615111193427');
 QuarantineFile('C:\Program Files\MATLAB704\toolbox\vipblks\vipmex\sviphoughlines.dll',''); SetAVZGuardStatus(true);
 QuarantineFile('\SystemRoot\System32\drivers\hl_mull.SYS','');
 QuarantineFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 ClearHostsFile;
 BC_ImportALL;
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

3. После выполнения всего вышеуказаного - сделайте логи заново.

[grad_19]

Прикрепил карантин. Вставляю новые логи...
Что скажете?

[Muzzle]

C:\WINDOWS\System32\DRIVERS\smtpdrv.sys - Email-Worm.Win32.Agent.l
(по Касперскому),второй файл оторый попал в карантин чистый

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RemoteRegistry', 4);
 DeleteFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys');
 BC_DeleteFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O16 - DPF: {33331111-1111-1111-1111-615111193427} -

Повторите логи

[grad_19]

Все сделал, но почему то не получается прикрепить логи через управление вложениями, пишет "ошибка загрузки". Как прикрепить по другому?

[V_Bond]

удалите более ранние логи и попробуйте ...

[grad_19]

Прикрепил новые логи...

[V_Bond]

в логах ничего подозрительного не вижу ....
из этого что вам нужно ?
Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
будем закрывать потенциальные уязвимости?

[grad_19]

Перечисленные службы поотключал через панель управления-администрирование-службы. А вот это:

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
будем закрывать потенциальные уязвимости?

Где эти доступы закрыть можно? что-то не найду

[drongo]

да в логе же, который приложили всё уже готово- только нажать надо

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.

[grad_19]

Все сделал, большое спасибо за помощь!

[Muzzle]

Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\smtpdrv.sys - Email-Worm.Win32.Agent.l (DrWEB: Trojan.NtRootKit.360)