Показано с 1 по 18 из 18.

Fkxy84.sys (заявка № 15053)

  1. #1
    Junior Member Репутация
    Регистрация
    12.06.2007
    Сообщений
    17
    Вес репутации
    42

    Thumbs up Fkxy84.sys

    Здраствуйте.
    При сканировании в AVZ все время находит такую штуку: Fkxy84.sys
    При попытке удалить ее требует перезагрузку, после оной объект все равно остается.
    А еще не смог выполнить пункт 8 Правил, я запускаю нужный скрипт, а комп перезагружается, при том довольно резко. поэтому добавляю все остальное.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Рискну предложить более радикальный modus operandi

    Выполните такой скрипт:
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Fkxy84', 'Start');
     RebootWindows(true); 
    end.
    После перезагрузки еще один:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\Fkxy84.sys','');
     QuarantineFile('C:\WINDOWS\System32\3BND40lJ.exe','');
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\mms32loclo.dll','');
     DeleteFile('C:\WINDOWS\System32\mms32loclo.dll');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     DeleteFile('C:\WINDOWS\System32\3BND40lJ.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\Fkxy84.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Если оба скрипта выполнятся нормально, пришлите карантин по правилам и сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    12.06.2007
    Сообщений
    17
    Вес репутации
    42
    Нет скрипты не пошли, все еще ничего не получается. пришлю файл "avz_sysinfo.rar". его сделал в безопасном режиме как посоветовал кто-то, не вижу его ответа почему-то.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    12.06.2007
    Сообщений
    17
    Вес репутации
    42
    выполнил сканирование, теперь Fkxy84.sys не обнаруживается. но лог согласно пункту 8 правил все-равно не сохраняется.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Давайте попробуем так:
    Код:
    begin
    BC_DeleteSvc('Fkxy84');
    BC_DeleteFile('C:\WINDOWS\System32\drivers\Fkxy84.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Затем повторите последний лог.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    12.06.2007
    Сообщений
    17
    Вес репутации
    42
    теперь получилось
    Шлю заново все файлы.
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Отлично! Теперь выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
     QuarantineFile('C:\WINDOWS\System32\3BND40lJ.exe','');
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\mms32loclo.dll','');
     DeleteFile('C:\WINDOWS\System32\mms32loclo.dll');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     DeleteFile('C:\WINDOWS\System32\3BND40lJ.exe');
    DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Удалите все задания в Планировщике (Панель управления - Назначенные задания).
    Пришлите карантин согласно приложению 3 правил.
    Сделайте еще раз логи (надеюсь, последний )
    I am not young enough to know everything...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    virus.zip по правилам загружать надо тут:
    http://virusinfo.info/upload_virus.php?tid=15053
    Из сообщения его уберите.

    Добавлено через 5 минут

    Попался только symavc32.sys - Rootkit.Win32.Agent.kb
    Все что надо успешно удалилось.

    На всякий случай пришлите по правилам еще этот файл:
    C:\Program Files\Internet Explorer\SETUPAPI.dll

    И посмотрите, что вам нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule ()
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    Лишнее отключим.

    А вообще, вот корень ваших бед:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Дырявая ваша системка. Уже SP3 на подходе - отстаете, товарищ!
    Последний раз редактировалось Bratez; 09.12.2007 в 17:12. Причина: Добавлено
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    12.06.2007
    Сообщений
    17
    Вес репутации
    42
    прошу прощения, налажал. :\

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Ой, логи не надо было убирать
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    12.06.2007
    Сообщений
    17
    Вес репутации
    42
    - C:\Program Files\Internet Explorer\SETUPAPI.dll присылать тем же путем что и virus.zip?
    - Про список не понял, что там выбрать? Я не знаю зачем нужны почти все службы из него, поэтому решите на свое усмотрение, что из него лучше отключить.
    - винду поставили при покупке ПК год назад, не знаю почему SP1. скажите пожалуйста, как обновить до SP 2.

    Добавлено через 2 минуты

    Пытался убрать только virus.zip. мне сказали что я не могу этого сделать, поэтому пришлось удалить все сообщение. при попытке снова загрузить логи пишет что они уже выложены и поэтому не получается загрузить их снова
    Последний раз редактировалось Xo66um; 09.12.2007 в 17:24. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    1. Да.

    2. Вот скрипт (оставил автозапуск CD и анонима для локалки):
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    3. Лучше всего взять дистрибутив с интегрированным SP2 и накатить поверх вашей обновлением. Только имейте ввиду, что русская локализованная и MUI-шная версии несовместимы.

    Добавлено через 2 минуты

    P.S. И вот это очень рекомендую, только после установки SP2:
    http://poleznosti.ru/soft/file_catal...20060821091454
    Подходит только для русской (не MUI-шной) XP.
    Последний раз редактировалось Bratez; 09.12.2007 в 17:30. Причина: Добавлено
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    12.06.2007
    Сообщений
    17
    Вес репутации
    42
    Спасибо большое за помощь и советы. все сделал, осталось только винду обновить, чем собстно и займусь

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    SETUPAPI.dll - Trojan-Spy.Win32.Webmoner.ew
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новые логи, начиная с п.10 правил.

    Добавлено через 37 секунд

    Если вебмани пользуете, срочно меняйте пароль!
    Последний раз редактировалось Bratez; 09.12.2007 в 17:43. Причина: Добавлено
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    12.06.2007
    Сообщений
    17
    Вес репутации
    42
    Вот новые логи.
    к счастью вебмани не юзаю
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Теперь порядок.
    Обновляйтесь, и будет вам счастье
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    12.06.2007
    Сообщений
    17
    Вес репутации
    42
    Еще раз спасибо

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,313
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\symavc32.sys - Trojan.Win32.Srizbi.gt (DrWEB: Trojan.NtRootKit.433)
      2. \\setupapi.dll - Trojan-Spy.Win32.Webmoner.ew (DrWEB: Trojan.PWS.Webmonier.30)


  • Уважаемый(ая) Xo66um, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00857 seconds with 16 queries