runtime.sys, startdrv.exe и ip6fw.sys

[vorbild]

Заражен комп(

Выполняя пункт 8
(8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы,)
компьютер автоматически перезагружается, предполагаю что это происходит под действием вирусов.

Извините, что не во вложении (забыл сначала):
http://users.oskol.ru/~vorbild/virusinfo_syscheck.zip

[zerocorporated]

Отключитесь от интернета и выключите антивирус, потом:

1.В avz выполнить скрипт:

Код:

begin
 QuarantineFile('%WinDir%\Temp\startdrv.exe','');
 QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
 QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
 QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
 DeleteFile('%Windir%\Temp\startdrv.exe');
 DeleteFile('%Windir%\system32\drivers\runtime2.sys');
 DeleteFile('%Windir%\system32\drivers\runtime.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится.

2.В avz выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
 QuarantineFile('Hawm59.sys','');
 QuarantineFile('\SystemRoot\system32\drivers\ctl_w32.sys','');
 DeleteFile('\SystemRoot\system32\drivers\ctl_w32.sys');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
 DeleteFile('none');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

3.Пофиксить в HiJackThis (Что будет)

Код:

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab
O16 - DPF: {33331111-1131-1111-1111-611111193428} - http://www.www2.p0rt2.com/files/proto133.cab
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O23 - Service: Microsoft Inet Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
O23 - Service: msupdate - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)
O23 - Service: NVSvc - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: odserv - Unknown owner - c:\systvgm.exe (file missing)

4.Выслать карантин согласно приложению 3 правил

5.Повторить логи. + сделать дополнительный лог

[vorbild]

1. Выполнил
2. Не выполнил (Во время выполнения скрипта комп перезагрузился.)
3. Пофиксил.
4. Выслал.
5. Выполняя пункт 8 правил, комп опять перезагрузился, остальные 2 лога - ниже.

[Bratez]

Выполните скрипт:

Код:

begin
 BC_QrFile('C:\windows\system32\drivers\ctl_w32.sys');
 BC_QrFile('C:\windows\system32\drivers\Hawm59.sys');
 BC_QrFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
 BC_DeleteFile('C:\windows\system32\drivers\ctl_w32.sys');
 BC_DeleteFile('C:\windows\system32\drivers\Hawm59.sys');
 BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
BC_Activate;
RebootWindows(true);
end.

Пришлите новый карантин по правилам.
Снова попробуйте сделать лог п.8 правил.

[vorbild]

1. Карантин выслал.
2. Лог снова сделать не получилось, скрипт прервался перезагрузкой.

[Bratez]

Давайте попробуем такой скрипт:

Код:

begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Hawm59', 'Start');
 RebootWindows(true); 
end.

После перезагрузки войдите в безопасный режим и сделайте лог, как написано здесь: http://virusinfo.info/showthread.php?t=10387

[vorbild]

1. Скрипт выполнил.
2. В безопасный режим зайти не получается, т.к. при нажатии F8 во время загрузки системы появляется экран BOOT MENU где можно выбрать с чего загружать систему - флопи, хард или сдром.

[V_Bond]

вы слишком торопитесь ... рано нажимаете F8 ...

[vorbild]

Получилось. Вложение ниже.

[V_Bond]

выполните скрипт....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\install4\MSICPL.sys','');
 QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('F:\NTACCESS.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\msownu.sys','');
 QuarantineFile('Arp1349.sys','');
 QuarantineFile('c:\systvgm.exe','');
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
 DeleteFile('C:\WINDOWS\system32\_svchost.exe');
 DeleteFile('c:\windows\system32\mssrv32.exe');
 DeleteFile('c:\systvgm.exe');
 DeleteFile('Arp1349.sys');
 BC_DeleteFile('c:\windows\system32\drivers\ctl_w32.sys');
 DeleteFile('c:\windows\DRIVERS\smtpdrv.sys');
 BC_DeleteSvc('ctl_w32');
 BC_DeleteSvc('Arp1349');
 BC_DeleteSvc('odserv');
 BC_DeleteSvc('msupdate');
 BC_DeleteSvc('smtpdrv'); 
BC_DeleteSvc('Microsoft Inet Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите последний лог ....

[vorbild]

1. Скрипт выполнил
2. Карантин закачал
3. лог (сделанный из безоп. режима) - во вложении

[V_Bond]

что такое диск F:\ ?
выполните скрипт ...

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\drivers\msownu.sys','');
 QuarantineFile('C:\Documents and Settings\User\Рабочий стол\Downloaded\vw.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
 DeleteFile('C:\Documents and Settings\User\Рабочий стол\Downloaded\vw.exe');     
 BC_Importall;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
сделайте полный комплект логов ....

[vorbild]

диск - F - это обычный dvd-rom (диск G - виртуальный, сделанный Алкоголем)

1. Скрипт выполнил.
2. карантин выслал

[V_Bond]

пофиксите ....

Код:

O20 - Winlogon Notify: abc32reg - C:\WINDOWS\

остался один подозреваемый ...
выполните скрипт....

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\Temp\abcB812.tmp','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[vorbild]

пофиксил, выполнил, отослал.

[V_Bond]

C:\WINDOWS\Temp\abcB812.tmp Trojan.Win32.Pakes.brf
выполните скрипт....

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\Temp\abcB812.tmp');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

и еще раз логи .... думаю последний ....

[vorbild]

вот

[V_Bond]

где вы их берете ....
выполните скрипт....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\rt26.exe','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[vorbild]

карантин выслал.

[V_Bond]

упс ...15 мегабайт ...
давайте так сперва этот скрипт... а потом из поста 18 ...

Код:

begin
 ClearQuarantine;
end.

и карантин заново ...