Показано с 1 по 15 из 15.

Ну вот и у меня проблемы с ip6fw.sys, runtime2.sys и IEXPLORE.EXE (заявка № 12161)

  1. #1
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    7
    Вес репутации
    61

    Thumbs up Ну вот и у меня проблемы с ip6fw.sys, runtime2.sys и IEXPLORE.EXE

    Доброго времени суток!
    Вот и у меня случились проблемы с ip6fw.sys - Trojan.NtRootKit.319, runtime2.sys и IEXPLORE.EXE. Как с этим безобразием бороться?
    Спасибо!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт....
    Код:
    begin
     BC_QrFile('C:\WINDOWS\SYSTEM32\reset5.dll');
     BC_QrFile('C:\WINDOWS\System32\hwclock.exe');
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_Activate;
     SysCleanAddFile('C:\WINDOWS\Temp\startdrv.exe');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    Последний раз редактировалось V_Bond; 04.09.2007 в 00:06.

  4. #3
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    7
    Вес репутации
    61
    Карантин выслал.
    Еще раз спасибо!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Карантин выслал.
    Да только пустой он...
    Сделайте новые логи, посмотрим, что осталось.
    I am not young enough to know everything...

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    .... попробуйте найти C:\WINDOWS\System32\hwclock.exe
    при помощи AVZ-сервмс- поиск файлов на диске ... если найдется пришлите по правилам ...

  7. #6
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    7
    Вес репутации
    61
    Ок, вечером сделаю логи и попробую найти hwclock.exe - сейчас нет доступа к проблемному компу

  8. #7
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    7
    Вес репутации
    61
    Проверил папку карантина и содержимое virus.zip - действительно отличаются, в папку есть *.dta файлы, а в архиве почему-то нет...
    Ну да ладно. Сделал новые логи. Я так понимаю подозрительных файлов не осталось? Только уязвимости? Что посоветуете?
    Еще раз спасибо!
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    7
    Вес репутации
    61
    Забыл написать, что C:\WINDOWS\System32\hwclock.exe не нашел.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    профиксите ....
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');     
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    что из этого нужно ?

    Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

  11. #10
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    7
    Вес репутации
    61
    Профиксил. Единственно в HiJackThis так и остается

    O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

    а в службах висит Hardware Clock Driver, исполняемый файл для которой C:\WINDOWS\System32\hwclock.exe отсутствует. А как из служб эту запись удалить?

    Ненужные службы отключил.
    Спасибо. Пойду читать книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Пуск > Выполнить; вписать sc delete hwclock; нажать ОК

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Если и это не поможет, то тогда попробуйте скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteService('hwclock', true);
     BC_DeleteSvc('hwclock');
     BC_Activate;
     RebootWindows(true);
    end.

  14. #13
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    7
    Вес репутации
    61
    Помогло
    Огромное спасибо за помощь!!!

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Советую работать за компьютером под пользователем с ограниченными правами.
    По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
    Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) mrgo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 31
      Последнее сообщение: 22.02.2009, 02:43
    2. проблема с ip6fw.sys, runtime2.sys и IEXPLORE.EXE
      От grad_19 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:15
    3. ip6fw.sys | runtime.sys | runtime2.sy_
      От eizu в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:55
    4. runtime2.sys и ip6fw.sys
      От BarsukovAV в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.07.2007, 18:06
    5. Зараза: runtime2.sys ip6fw.sys
      От antivor в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.07.2007, 07:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01369 seconds with 20 queries