Они появляются снова: runtime2.sys, sulimo.dat, ip6fw.sys

**BreAl** · 27.10.2007, 10:52

Неоднократно удалял эти файлы с помощью скриптов, найденных на вашем форуме (возможно они не подошли, а самому написать - ума не хватит-чайник) после перезагрузки все появляется снова. восстановление системы отключено. Несколько дней назад похожие проблемы были с printer.exe, но после выполнения скриптов (спасибо этому сайту) система заработала нормально. но ненадолго (
кто виноват и как жить дальше? вернее что делать?

во вложениях - что находят аваст и avz

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 27.10.2007, 10:57

Мы сможем помочь, если вы сделаете логи по правилам:
http://virusinfo.info/showthread.php?t=1235

**BreAl** · 27.10.2007, 15:04

исправляюсь.

**Bratez** · 27.10.2007, 15:17

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

Выполните скрипт в AVZ:

Код:

begin
ClearHostsFile;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.

Сделайте дополнительный лог, как написано тут:
http://virusinfo.info/showthread.php?t=10387

**BreAl** · 27.10.2007, 15:50

сделал.
беспокоит вот это: C:\WINDOWS\oeimara.exe >>> подозрение на Trojan.Win32.Inject.iq

**Bratez** · 27.10.2007, 15:55

Да, забыл добавить: карантин AVZ пришлите согласно приложению 3 правил (загружать тут: http://virusinfo.info/upload_virus.php?tid=13597).

avz_sysinfo.zip - запакуйте html а не xml.

**BreAl** · 27.10.2007, 16:06

в карантине есть более ранние удаления - файлы printer.exe, я о нем писал. его высылать?

**BreAl** · 27.10.2007, 16:07

чуть не забыл.

**Bratez** · 27.10.2007, 16:20

C:\WINDOWS\oeimara.exe - это действительно Trojan.Win32.Inject.iq
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\oeimara.exe');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки сделайте новые логи по правилам.

**BreAl** · 27.10.2007, 18:18

надо сказать, что еще до выполнения последнего скрипта вирусные атаки прекратились, тормоза вроде бы пропали, но в безопасном режиме cureit! опять находит и удаляет sulimo.dat (Trojan.Proxy.1739)

**V_Bond** · 27.10.2007, 19:50

выполните скрипт...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\SystemRoot\system32\DRIVERS\nvcap.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
где Cureit находит sulimo.dat ? среди активніх я его не вижу ....

**BreAl** · 29.10.2007, 08:26

сегодня вроде все чисто. спасибо за помощь. и с прошедшим днем водителя ).
карантин высылаю.

**V_Bond** · 29.10.2007, 09:05

присланный вами файл чистый ... больше ничего подозрительного не вижу ... какие проблемы остались ?

**BreAl** · 29.10.2007, 09:10

Все нормально вроде бы. Еще раз спасибо.

**BreAl** · 01.11.2007, 05:32

второе пришествие: снова сканер вопит о вирусной атаке каждые 2 секунды, обнаруживаются и удаляются: DefLib.sys, ip6fw.sys, c++.exe\[UPX], runtime.sys.
После перезагрузки этих файлов нет и в принципе все вроде работает, но вот эти наводят на подозрение: wupdsvc0, wupdsvc4, wupdsvc6. На всякий случай сделал логи.

**Muzzle** · 01.11.2007, 05:45

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 BC_QrFile('C:\WINDOWS\system32\c++.exe');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
 BC_DeleteFile('C:\WINDOWS\system32\c++.exe');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteSvc('FCI');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13597

но вот эти наводят на подозрение: wupdsvc0, wupdsvc4, wupdsvc6. На всякий случай сделал логи.

Где эти файлы?Вы их удалили?
Если нет то поместите в карантин и отправьте по правилам,после удалите их.

**BreAl** · 01.11.2007, 06:02

как их поместить в карантин? извиняюсь за глупый вопрос. или просто заархивировать и выслать?

Добавлено через 45 секунд

wupdsvc0, wupdsvc4, wupdsvc6 - я их имею в виду

**Muzzle** · 01.11.2007, 06:37

Да,поместить в арвив с паролем "virus" и прислать по правилам,после выполнения скрипта,сделайте новые логи.

**BreAl** · 01.11.2007, 08:44

новые логи. стоит ли обращать внимание на:
>> Маскировка драйвера: Base=F3A63000, размер=131072, имя = "\SystemRoot\system32\DRIVERS\nvcap.sys"

**zerocorporated** · 01.11.2007, 08:52

1.В avz выполнить скрипт:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\c++.exe','');
 DeleteFile('C:\WINDOWS\system32\c++.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Компьютер перезагрузится.

2.Пофиксить в HiJackThis если будет

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\c++.exe,

3.Выслать карантин согласно приложению 3 правил

Они появляются снова: runtime2.sys, sulimo.dat, ip6fw.sys (заявка № 13597)

Опции темы

Они появляются снова: runtime2.sys, sulimo.dat, ip6fw.sys

Похожие темы

Ну вот и у меня проблемы с ip6fw.sys, runtime2.sys и IEXPLORE.EXE

проблема с ip6fw.sys, runtime2.sys и IEXPLORE.EXE

ip6fw.sys | runtime.sys | runtime2.sy_

runtime2.sys и ip6fw.sys

Зараза: runtime2.sys ip6fw.sys

Ваши права в разделе