Junior Member
Вес репутации
60
runtime.sys, startdrv.exe и ip6fw.sys
Заражен комп(
Выполняя пункт 8
(8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" . Нажмите "Выполнить отмеченные скрипты" . Будет выполнено автоматическое сканирование, лечение и исследование системы,)
компьютер автоматически перезагружается, предполагаю что это происходит под действием вирусов.
Извините, что не во вложении (забыл сначала):
http://users.oskol.ru/~vorbild/virusinfo_syscheck.zip
Вложения
Последний раз редактировалось vorbild; 05.12.2007 в 05:35 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключитесь от интернета и выключите антивирус, потом:
1.В avz выполнить скрипт :
Код:
begin
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.В avz выполнить скрипт :
Код:
begin
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
QuarantineFile('Hawm59.sys','');
QuarantineFile('\SystemRoot\system32\drivers\ctl_w32.sys','');
DeleteFile('\SystemRoot\system32\drivers\ctl_w32.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('none');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
3.Пофиксить в HiJackThis (Что будет)
Код:
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab
O16 - DPF: {33331111-1131-1111-1111-611111193428} - http://www.www2.p0rt2.com/files/proto133.cab
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O23 - Service: Microsoft Inet Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
O23 - Service: msupdate - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)
O23 - Service: NVSvc - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: odserv - Unknown owner - c:\systvgm.exe (file missing)
4.Выслать карантин согласно приложению 3 правил
5.Повторить логи. + сделать дополнительный лог
Junior Member
Вес репутации
60
1. Выполнил
2. Не выполнил (Во время выполнения скрипта комп перезагрузился.)
3. Пофиксил.
4. Выслал.
5. Выполняя пункт 8 правил, комп опять перезагрузился, остальные 2 лога - ниже.
Вложения
Выполните скрипт:
Код:
begin
BC_QrFile('C:\windows\system32\drivers\ctl_w32.sys');
BC_QrFile('C:\windows\system32\drivers\Hawm59.sys');
BC_QrFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
BC_DeleteFile('C:\windows\system32\drivers\ctl_w32.sys');
BC_DeleteFile('C:\windows\system32\drivers\Hawm59.sys');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
BC_Activate;
RebootWindows(true);
end.
Пришлите новый карантин по правилам.
Снова попробуйте сделать лог п.8 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
60
1. Карантин выслал.
2. Лог снова сделать не получилось, скрипт прервался перезагрузкой.
Давайте попробуем такой скрипт:
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Hawm59', 'Start');
RebootWindows(true);
end.
После перезагрузки войдите в безопасный режим и сделайте лог, как написано здесь: http://virusinfo.info/showthread.php?t=10387
I am not young enough to know everything...
Junior Member
Вес репутации
60
1. Скрипт выполнил.
2. В безопасный режим зайти не получается, т.к. при нажатии F8 во время загрузки системы появляется экран BOOT MENU где можно выбрать с чего загружать систему - флопи, хард или сдром.
вы слишком торопитесь ... рано нажимаете F8 ...
Junior Member
Вес репутации
60
Получилось. Вложение ниже.
Вложения
выполните скрипт....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\install4\MSICPL.sys','');
QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('F:\NTACCESS.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\msownu.sys','');
QuarantineFile('Arp1349.sys','');
QuarantineFile('c:\systvgm.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('c:\systvgm.exe');
DeleteFile('Arp1349.sys');
BC_DeleteFile('c:\windows\system32\drivers\ctl_w32.sys');
DeleteFile('c:\windows\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('ctl_w32');
BC_DeleteSvc('Arp1349');
BC_DeleteSvc('odserv');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Microsoft Inet Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите последний лог ....
Junior Member
Вес репутации
60
1. Скрипт выполнил
2. Карантин закачал
3. лог (сделанный из безоп. режима) - во вложении
Вложения
что такое диск F:\ ?
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\msownu.sys','');
QuarantineFile('C:\Documents and Settings\User\Рабочий стол\Downloaded\vw.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
DeleteFile('C:\Documents and Settings\User\Рабочий стол\Downloaded\vw.exe');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
сделайте полный комплект логов ....
Junior Member
Вес репутации
60
диск - F - это обычный dvd-rom (диск G - виртуальный, сделанный Алкоголем)
1. Скрипт выполнил.
2. карантин выслал
Вложения
пофиксите ....
Код:
O20 - Winlogon Notify: abc32reg - C:\WINDOWS\
остался один подозреваемый ...
выполните скрипт....
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\abcB812.tmp','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
Junior Member
Вес репутации
60
пофиксил, выполнил, отослал.
C:\WINDOWS\Temp\abcB812.tmp Trojan.Win32.Pakes.brf
выполните скрипт....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Temp\abcB812.tmp');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
и еще раз логи .... думаю последний ....
Junior Member
Вес репутации
60
Вложения
где вы их берете ....
выполните скрипт....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rt26.exe','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
Junior Member
Вес репутации
60
упс ...15 мегабайт ...
давайте так сперва этот скрипт... а потом из поста 18 ...
Код:
begin
ClearQuarantine;
end.
и карантин заново ...