С:\windows\system32\drivers\ip6fw.sys инфицирован Trojan.NtRootKit.319

[ASG1975]

Добрый день!
Сканирую Doctor Web 4.33 (обновлен) получаю сообщение:
С:\windows\system32\drivers\ip6fw.sys инфицирован Trojan.NtRootKit.319
После удаления возникает снова при рестарте.
Видел подобное, но следуя правилам присылаю свои логи!!!

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\sysboga.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\go.exe','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\System\w_3789.dll','');
BC_ImportQuarantineList;
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Добавлено через 2 минуты

Выполните второй скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\sysboga.exe');
 DeleteFile('C:\WINDOWS\TEMP\go.exe');
 DeleteFile('C:\PROGRA~1\COMMON~1\System\w_3789.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пофиксите в HijackThis:

Код:

F2 - REG:system.ini: Shell=explorer.exe                                                                                                           "C:\sysboga.exe"
O2 - BHO: (no name) - {FDED1C12-AD76-613C-344C-A3BD5C6415B2} - C:\PROGRA~1\COMMON~1\System\w_3789.dll

Еще раз перезагрузитесь и сделайте новые логи.

[Numb]

Вдогонку: на время выполнения скриптов от Bratez, отключитесь от сети и отключите антивирусный монитор. DrWeb не виден в логах - вы его отключили, или удалили вообще? Если он не удален и лицензионно чист, после выполнения скриптов, обновляйте его до версии 4.44.

[Bratez]

Исправил ошибку во втором скрипте...

[ASG1975]

Все проделал как советовали.Правда профиксить
F2 - REG:system.ini: Shell=explorer.exe
не удалось - такой строки не было.
После последней перезагрузки все прогнал еще раз DrWEB-ом.
Все OK! Спасибо. Но скрипты все-таки высылаю...

[V_Bond]

уберите карантин из темы ... его нужно закачать по ссылке ... http://virusinfo.info/upload_virus.php?tid=12871
пофиксите ...

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

D:\autorun.inf - это СD ?

что из этого используете ?

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[ASG1975]

Область применения: домашний.
Есть желание все эти дыры позакрывать!
D: - это CD-ROM, но по-моему я в msconfig убрал с этой строки галочку!

[drongo]

Для закрытия дырок:

Код:

begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.