Доброго времени суток!
Вот и у меня случились проблемы с ip6fw.sys - Trojan.NtRootKit.319, runtime2.sys и IEXPLORE.EXE. Как с этим безобразием бороться?
Спасибо!!!
Доброго времени суток!
Вот и у меня случились проблемы с ip6fw.sys - Trojan.NtRootKit.319, runtime2.sys и IEXPLORE.EXE. Как с этим безобразием бороться?
Спасибо!!!
выполните скрипт....
пришлите карантин согласно приложения 3 правил...Код:begin BC_QrFile('C:\WINDOWS\SYSTEM32\reset5.dll'); BC_QrFile('C:\WINDOWS\System32\hwclock.exe'); BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_Activate; SysCleanAddFile('C:\WINDOWS\Temp\startdrv.exe'); ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось V_Bond; 04.09.2007 в 00:06.
Карантин выслал.
Еще раз спасибо!
Да только пустой он...Карантин выслал.
Сделайте новые логи, посмотрим, что осталось.
I am not young enough to know everything...
.... попробуйте найти C:\WINDOWS\System32\hwclock.exe
при помощи AVZ-сервмс- поиск файлов на диске ... если найдется пришлите по правилам ...
Ок, вечером сделаю логи и попробую найти hwclock.exe - сейчас нет доступа к проблемному компу
Проверил папку карантина и содержимое virus.zip - действительно отличаются, в папку есть *.dta файлы, а в архиве почему-то нет...
Ну да ладно. Сделал новые логи. Я так понимаю подозрительных файлов не осталось? Только уязвимости? Что посоветуете?
Еще раз спасибо!
Забыл написать, что C:\WINDOWS\System32\hwclock.exe не нашел.
профиксите ....
выполните скрипт ....Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
что из этого нужно ?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Профиксил. Единственно в HiJackThis так и остается
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
а в службах висит Hardware Clock Driver, исполняемый файл для которой C:\WINDOWS\System32\hwclock.exe отсутствует. А как из служб эту запись удалить?
Ненужные службы отключил.
Спасибо. Пойду читать книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Пуск > Выполнить; вписать sc delete hwclock; нажать ОК
Если и это не поможет, то тогда попробуйте скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('hwclock', true); BC_DeleteSvc('hwclock'); BC_Activate; RebootWindows(true); end.
Помогло
Огромное спасибо за помощь!!!
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) mrgo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.