Трояны при загрузке

**Ivanovich** · 13.11.2007, 16:19

При загрузке антивирус обнаруживает 2 трояна - Win32Agent-MEB в папке ...system 32\drivers\ip6fw.sys и Win32:Small-EP в папке
...system 32\runtime.sys. Нажимаешь удалить или в карантин - все
без толку.После перезагрузки они появляются снова.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**rubin** · 13.11.2007, 16:23

http://virusinfo.info/showthread.php?t=1235
Без логов мы как без рук

**rubin** · 13.11.2007, 16:26

Просто прикрепите к сообщению

**Ivanovich** · 13.11.2007, 16:41

При загрузке вылезают 2 трояна, жму удалить или в карантин ,
при перезагрузке все повторяется

**rubin** · 13.11.2007, 17:05

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
 BC_ImportQuarantineList;
 BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_QrFile('C:\WINDOWS\system32\ufdsvc.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\system32\ufdsvc.exe');
 BC_QrSvc('runtime2');
 BC_QrSvc('UFDSVC');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('UFDSVC');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - (no file)
O2 - BHO: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O3 - Toolbar: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

**PavelA** · 13.11.2007, 17:37

Kerish Doctor надо деинсталлировать. Он полон Adware.

**Ivanovich** · 14.11.2007, 14:37

rubin спасибо, исчезли, HijackThis не фикситил не понял что там из строки вставлять
kerish Doctor выбросил.

**rubin** · 14.11.2007, 15:30

http://virusinfo.info/showthread.php?t=4491
Здесь описано как фиксить

Добавлено через 1 минуту

Плюс сделайте повторные логи для проверки

**Ivanovich** · 15.11.2007, 13:53

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

**PavelA** · 15.11.2007, 14:08

Опять куча дерьма в логах. Откуда налавливаете? Два антивируса: Аваст и Бидефендер и не помогают. Надо одного оставлять.
spyprodetector - деинсталлировать.

Сейчас будем писать скрипт.

**Ivanovich** · 15.11.2007, 14:14

за последние дни ничего не устанавливалось и не запускалось на машине, кроме IE и проводника работал только с вами.

**PavelA** · 15.11.2007, 14:24

Восстановление системы отключить срочно!!!

Профиксить:

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - AppInit_DLLs: sockspy.dll,wbsys.dll

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wbsys.dll','');
QuarantineFile('sockspy.dll','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('wbsys.dll');
 DeleteFile('sockspy.dll');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки прислать карантин и сделать новые логи.

От Симантека на машине что-нибудь установлено? Если нет, то деинсталлировать LiveUpdate, а еще лучше пройтись фирменной утилитой от Симантека.

**Ivanovich** · 15.11.2007, 15:18

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Сделал все как велено, от симтека вроде ничего не ставилось и антивирус только аваст устанавливался. Карантин большой - 5Мв не дождаться когда загрузится (запросный канал GPRS).Может попозже скину?

**Ivanovich** · 15.11.2007, 15:24

Извиняюсь LiveUpdate v3.3 был - удалил.

**PavelA** · 15.11.2007, 16:02

Логи посмотрю, а Bit Defender надо тоже деинсталлировать.

Добавлено через 6 минут

После того, как загрузишь карантин, давай еще вот это проверим. Выполнить скрипт:

Код:

begin
 ClearQuarantine;
 BC_QrFile('C:\WINDOWS\system32\drivers\oreans32.sys');
BC_Activate;
RebootWindows(true);
end.

Загрузить, если попадет в карантин.

А что такое здоровое попало в карантин?

**Ivanovich** · 15.11.2007, 16:25

файл там большой с расширением DTA, правда есть еще 3 с таким же расширением
но маленькие и еще конфигурационные (я имею ввиду папку созданную сегодняшним числом в папке Quarantine). Сколько там вообще файлов должно быть? Bit Defender выкинул

**PavelA** · 15.11.2007, 16:33

Там tcpip.sys здоровый. Его можно отдельно загрузить. Мне почему-то кажется, что он чистый, а вот остальные как раз интересные.
Логи начальные посмотрю, может еще чего можно на потом оставить.

Трояны при загрузке (заявка № 14146)

Опции темы

Трояны при загрузке

трояны при загрузке

повторные логи

Похожие темы

отключен безопасный режим, тормозит при загрузке, переодические вылеты программотключен безопасный режим, тормозит при загрузке, переодические вылеты программ

При загрузке windows выдается сообщение Ошибка при загрузке cagj.mmo не найден модуль приложения (заявка №8257)

Трояны + Автоматическое открытие папок при загрузке.

При загрузке браузера находятся трояны

Ваши права в разделе