Показано с 1 по 8 из 8.

Заражен svchost.exe и ip6fw.sys (заявка № 15585)

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2007
    Сообщений
    4
    Вес репутации
    38

    Exclamation Заражен svchost.exe и ip6fw.sys

    Здравствуйте.
    У меня стоит Nod. Он все время находит вирусы в папке c:\windows\system32\drivers\
    У них постоянно разные имена. Файл ip6fw.sys при удалении сразу же восстанавливается.
    Программа Ad-Ware постоянно находит какие-то файлы несуществующие и пытается их удалить( audio.dll и video.dll).
    Программа avz находит что с:\windows\system32\drivers\ctl_w32.sys все время перехватывает какие-то функции а svchost.exe и iexplorere.exe имеют замаскированные процессы.
    Причем все время идет обмен с сетью какими то данными. Если отключить svchost.exe (с маскированными процессами то обмен данными прекращается). Высылаю вам логи avz,hijack.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users\Документы\Settings\a bc32.dll
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Hth85.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Fck46.sys','');
     QuarantineFile('C:\DOCUME~1\xp\LOCALS~1\Temp\cportclm.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Chc85.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Chc85.sys');
     BC_DeleteFile('C:\DOCUME~1\xp\LOCALS~1\Temp\cportclm.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Fck46.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Hth85.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Upn02.sys');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('Upn02');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('Hth85');
     BC_DeleteSvc('Fck46');
     BC_DeleteSvc('Chc85');
     BC_DeleteSvc('cportclm');
     BC_DeleteSvc('ip6fw');
      BC_DeleteSvc('ctl_w32');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
     end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    23.12.2007
    Сообщений
    4
    Вес репутации
    38
    Спасибо.
    Вирус удален. Nod больше не находит вирусной активности. Подозрительной сетевой активности тоже не наблюдается. Но Я вам вышлю логи и архив из карантина avz , на всякий случай.
    А как вы обнаружили его , и обезвредили. Есть какая-нибуть документация что бы самому можно было разобраться?
    Вложения Вложения
    Последний раз редактировалось drongo; 25.12.2007 в 22:20.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users\Документы\Settings\a bc32.dll (file missing)
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    нужен третий лог .... virusinfo_syscure.zip
    virus.zip - карантин к сообщению не присоединяют ... отсылают по ссылке над темой ...

  6. #5
    Junior Member Репутация
    Регистрация
    23.12.2007
    Сообщений
    4
    Вес репутации
    38
    Извините за файл с карантином. Не разобрался. Выполнил все что написано. Присылаю логи. Мне все таки хочется разобраться как вы определяете что нужно удалять , и как писать скрипты. Есть ли какая-нибуть документация, учебник.
    Спасибо
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    http://z-oleg.com/secur/avz_doc/
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Rrp76', 'Start');
     RebootWindows(true); 
    end.
    затем еще один ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\Rrp76.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\Rrp76.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Rrp76');
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи....
    Последний раз редактировалось V_Bond; 26.12.2007 в 02:07.

  8. #7
    Junior Member Репутация
    Регистрация
    23.12.2007
    Сообщений
    4
    Вес репутации
    38
    Все сделал, но папка с карантином пустая. Нечего слать. Спасибо за адрес. Буду изучать.
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Аватар для XL
    Регистрация
    25.02.2006
    Адрес
    почти Москва
    Сообщений
    157
    Вес репутации
    47
    Давайте попробуем выполнить вот такой скрипт:
    Код:
    begin
    SearchRootkit(false, true);
    StopService('Qbl31'); 
    SetServiceStart('Qbl31', 4);
    DeleteService('Qbl31');
    QuarantineFile('C:\WINDOWS\System32\drivers\Qbl31.sys','');
    DeleteFile('C:\WINDOWS\System32\drivers\Qbl31.sys');
    BC_DeleteFile('C:\WINDOWS\System32\drivers\Qbl31.sys');
    BC_DeleteSvc('Qbl31');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта посмотрите - попало ли чего в карантин и если попало, то пришлите по правилам, как это делали выше.

    Ну и повторите логи после всего.
    Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...

  • Уважаемый(ая) Fun_security, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Заражен svchost.exe
      От Adieu в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 05:02
    2. Ответов: 19
      Последнее сообщение: 22.02.2009, 04:00
    3. svchost.exe заражен
      От mserg в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.02.2009, 10:42
    4. svchost заражен
      От Pokee в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 01.11.2008, 13:49
    5. Заражен SVCHOST.EXE !!!
      От HSH в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 06.06.2008, 16:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00172 seconds with 17 queries