-
Junior Member
- Вес репутации
- 60
Атака из сети
Здравствуйте, прочитав форум понимаю что моя проблема не нова.
Из антивируса стоит Avast!, базы автоматически обновляются каждый день. Внезапно сканер аваста стал
кричать о вирусах которые посыпались с различных www адресов. Нажимаю прервать соединение, но тут же
сыпется следующее. Был отключен интернет, система просканирована сначала авастом, потом опять же
авастом в процессе загрузки, было найдено два файла с поражением - это runtime.sys и Ip6Fw.sys. Файлы эти не
удалялись, не лечились и появлялись вновь при загрузке. При заходе в интернет продолжается таже атака.
Так же в темпе по адресу C:\DOCUME~1\kondor\LOCALS~1\Temp\{9CC3F3F2-0AD2-4B2A-9C76-8592330B00A1}.exe
живет этот файл, который заражен Win32:Trojan-gen {Other}, его можно удалить, но при загрузке вновь
появляется.
Сделаны все логи при помощи AVZ и HJT. на сей момент при загрузке Avast! не ругается, но при выходе в инет
атака продолжается.
Помогите справится с проблемой! можно конечно переустановить систему но хотелось бы разобраться!
Спасибо!
Последний раз редактировалось Kondor; 10.04.2008 в 21:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите ...
Код:
O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\kernel2.exe','');
QuarantineFile('\SystemRoot\system32\drivers\ctl_w32.sys','');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\kernel2.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('ovrscn.dll');
BC_DeleteSvc('ctl_w32');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 60
Пофиксино, скрипт сделан
в аттаче карантин и новые логи
при выходе в инет атака продолжается, при загрузке системы аваст молчит
[moderated! карантин нужно присылать согласно приложения 3 правил]
Последний раз редактировалось Kondor; 10.04.2008 в 21:01.
-
пофиксите ..
Код:
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('\SystemRoot\system32\drivers\ctl_w32.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('ctl_w32');
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
очистите временные интернет файлы ....
Последний раз редактировалось V_Bond; 03.12.2007 в 23:03.
-
-
Файл сохранён как 071203_134326_virus_14831_47545c5e0b038.zip
два присланных (file3[2].exe, ctl_w32.sys)
Код:
Scan taken on 03 Dec 2007 19:42:39 (GMT)
A-Squared Found nothing
AntiVir Found TR/Rootkit.Gen, TR/Dldr.Small.AAJD
ArcaVir Found Heur.Win32
Avast Found Win32:Small-EPJ
AVG Antivirus Found nothing
BitDefender Found Trojan.Kobcka.AY, Trojan.Downloader.Small.AAJD
ClamAV Found PUA.Packed.UPack-2
CPsecure Found nothing
Dr.Web Found Trojan.NtRootKit.496
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Rootkit.Win32.Agent.pq, Trojan-Downloader.Win32.Agent.fnn
Fortinet Found nothing
Ikarus Found Virus.Win32.Small.EPJ, Trojan-Downloader.Win32.Small.evh
Kaspersky Anti-Virus Found Rootkit.Win32.Agent.pq, Trojan-Downloader.Win32.Agent.fnn
NOD32 Found Win32/Rootkit.Agent.EY, Win32/TrojanDownloader.Nurech.NCE
Norman Virus Control Found W32/Rootkit.gen8.dropper, W32/Suspicious_U.gen
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found Troj/RKRun-Gen, Mal/Packer
VirusBuster Found Rootkit.Cutwail.Gen,
VBA32 Found Trojan-Downloader.Win32.Agent.fnn
-
-
Junior Member
- Вес репутации
- 60
пофиксино
скрипт сделан
временные файлы почищены
вроде комп выздоровел!
Последний раз редактировалось Kondor; 10.04.2008 в 21:01.
-
пофиксите ...
Код:
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
повторите hijackthis.log
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось Kondor; 10.04.2008 в 21:01.
-
-
-
Junior Member
- Вес репутации
- 60
Спасибо большое за помощь!!!!