Здравствуйте, третий день не справится с трояном. Nod32 говорит - C:\WINDOWS\system32\drivers\ip6fw.sys инфицирован троян, удаляет его, а он новый появляется. Что сделать?
Троян и бессмертный ip6fw.sys
Здравствуйте, третий день не справится с трояном. Nod32 говорит - C:\WINDOWS\system32\drivers\ip6fw.sys инфицирован троян, удаляет его, а он новый появляется. Что сделать?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%WinDir%\Temp\startdrv.exe',''); QuarantineFile('%Windir%\system32\drivers\runtime.sys',''); QuarantineFile('%Windir%\system32\drivers\runtime2.sys',''); QuarantineFile('%Windir%\system32\drivers\ip6fw.sys',''); DeleteFile('%Windir%\Temp\startdrv.exe'); DeleteFile('%Windir%\system32\drivers\runtime2.sys'); DeleteFile('%Windir%\system32\drivers\runtime.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\mmall2.exe',''); DeleteFile('C:\WINDOWS\mmall2.exe'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
3.Выслать карантин согласно приложению 3 правил
Огромное человеческое спасибо. Всё работает
C:\WINDOWS\mmall2.exe - Trojan-Downloader.Win32.Agent.feg
Повторите логи.
Странно но Nod32 при сканировании ничего не нашел. Единственное при запуске windows писал ошибку - мол не найден mmall2.exe я удалил все упоминания о mmall2.exe в реестре и стало всё ОК. На всякий случай высылаю заново логи (Извините что так долго отвечаю с работы уже выгоняют)
В логах чисто.
Что из этого не нужно (надо лишнее отключать)?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ок, спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\mmall2.exe - Trojan-Downloader.Win32.Agent.feg (DrWEB: Trojan.DownLoader.36532)
Уважаемый(ая) SergeY1984, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
