Показано с 1 по 6 из 6.

спам и ipv6fw.sys (заявка № 12476)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2007
    Сообщений
    3
    Вес репутации
    61

    Exclamation спам и ipv6fw.sys

    день добрый.
    подцепили трояна..шлет спам..
    посмотрел на форуме, такая ситуация часта..
    вкратце, при загрузке антивирус (avg) находит трояна (backdoor.generic7.xxd ) и удаляет/лечит файл ipv6fw.sys, но после перезагрузки все по новой..
    согласно правилам, провел предварительную диагностику, и как у многих действо сие проходило в защищенном режиме..avz перегружал машину.
    логи прилагаю
    Последний раз редактировалось tepmoc; 17.09.2007 в 16:44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
    O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Sergei/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\system32\svshost.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_Activate;
     ExecuteRepair(6);
     ExecuteRepair(9);
     RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12476
    3.Сделать новые логи, в нормальном режиме при отключённом антивирусе и adaware.
    и прикрепить к следующему сообщению .
    Последний раз редактировалось drongo; 15.09.2007 в 14:54.

  4. #3
    Junior Member Репутация
    Регистрация
    15.09.2007
    Сообщений
    3
    Вес репутации
    61
    карантин выслал
    логи прилагаю
    Последний раз редактировалось tepmoc; 17.09.2007 в 16:44.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Восстановление системы не отключали? Сделайте это сейчас!

    2. Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    3. Скажите, что нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    остальное поправим.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    15.09.2007
    Сообщений
    3
    Вес репутации
    61
    восстановление отключено

    оставим
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Последний раз редактировалось tepmoc; 15.09.2007 в 17:16.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот скрипт для поправки:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  • Уважаемый(ая) tepmoc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. долой спам-спам-спам....спааам
      От DeFreeze в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.10.2009, 23:28
    2. Спам
      От Anella в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.09.2008, 21:50
    3. Вот это спам! :-(
      От GRom в разделе Спам и мошенничество в сети
      Ответов: 14
      Последнее сообщение: 14.08.2007, 04:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00434 seconds with 19 queries