ip6fw.sys, Trogan.NtRootkit, Trogan.Swizzor - последствия

[Konstantinvs]

Добрый день. Касперский нашел ip6fw.sys, который после перезагрузки восстанавливался. Установил AVZ и (каюсь) выполнил скрипты, которые советовались другим участникам форума. Отключил восстановление системы, также провел проверку в безопасном режиме с помощью Касперского и Веба. На данные момент эти программы больше ничего не находят (были обнаружены ip6fw.sys, trojan.NtRootkit.319/321, Trojan.Swizzor).
Что осталось:
При загрузке svchost.exe скрытно запускает (что раньше вроде бы не делал) rapimgr.exe (ActiveSync) и в Атпосте видно, что svchost.exe устанавливает связь с www.yourfreeworld.com, www.bulldogsclicks.com и другими.
Помогите

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\SYSTEM32\softpub32.dll','');
 QuarantineFile('C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

[Konstantinvs]

Закачал.

Файл сохранён как
070915_112734_virus_46ec07f6d1ca7.zipРазмер файла29376MD53ede4c74132ae213e92d1c4fdadbd673

Если не ошибаюсь, pppoeservice.exe должен быть частью программного обеспечения от интернет-провайдера...

[V_Bond]

C:\WINDOWS\SYSTEM32\softpub32.dll (Microsoft 1.2803 2007.09.15 VirTool:Win32/Obfuscator.L) остается под подозрением ... подождем вердикт
вирлаба ...
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe -чистый

[Konstantinvs]

Спасибо. Подождем...

[V_Bond]

подождали...
\WINDOWS\SYSTEM32\softpub32.dll -Trojan.Win32.Agent.bmo свеженький ...
выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\SYSTEM32\softpub32.dll ');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи ...

[Konstantinvs]

Скрипт выполнил. Логи повторил. Аутпост больше не регистрирует, что svchost.exe устанавливает связь с www.yourfreeworld.com, www.bulldogsclicks.com и другими. Замечательно .
У меня еще один вопрос, Аутпост в Open Ports показывыет, что rapimgr.exe и wcescomm.exe (обе службы ActiveSync) имеют открытые порты, несмотря на то, что эти службы у меня добавлены в заблокированные приложения в Аутпосте. Так и должно быть?
Еще раз огромное спасибо!

[Konstantinvs]

И еще один вопрос . В Аутпосте в сетевой активности иногда присутствует процесс "n/a". Это нормально ?

[PavelA]

Профиксить в hijackthis:

O20 - Winlogon Notify: softpub32 - softpub32.dll (file missing)

В Аутпосте в сетевой активности иногда присутствует процесс "n/a". Это нормально? -- Думаю, что да.
На остальное не отвечу.

[Konstantinvs]

Спасибо. Пофиксил.

[Numb]

И еще один вопрос . В Аутпосте в сетевой активности иногда присутствует процесс "n/a". Это нормально ?

http://www.agnitum.ru/support/kb/art...000141&lang=ru
и
http://forum.five.mhost.ru/kb2/index...D1%81%D1%81%3F
В двух словах, может быть обычная сетевая активность, может быть и нет. Но, вероятнее всего,PavelA прав.
Открытые порты для служб Activesync можно убрать, думаю, только остановкой и отключением этих самых служб. В противном случае, Outpost будет применять к ним запрещающие правила, но отображать порты, открытые службами, как открытые.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\softpub32.dll - Trojan.Win32.Agent.bmo (DrWEB: Trojan.Litter)