Показано с 1 по 11 из 11.

Win32:Agent_LNK(ip6fw.sys, smtpdrv.sys) (заявка № 17099)

  1. #1
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    22
    Вес репутации
    37

    Thumbs up Win32:Agent_LNK(ip6fw.sys, smtpdrv.sys)

    С недавних пор Avast начал находить вот такую штуку Win32:Agent-LNK (ip6fw.sys, smtpdrv.sys)
    Воспользовался вашим советом проделал все операции приведеные тут http://virusinfo.info/showthread.php?t=1235 логи AVZ и hijackthis (virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis) прикрепил.
    Прошу помочь с данной проблемой.

    Последний раз редактировалось astral; 31.01.2008 в 15:55.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Выполните скрипт в AVZ
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Vfm42\0000', 'CSConfigFlags', '1');
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Sbi86\0000', 'CSConfigFlags', '1');
     BC_DeleteSvc('Iwv67');
     BC_DeleteSvc('Sbi86');
     BC_DeleteSvc('Vfm42');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteFile('C:\WINDOWS\Sbi86.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Vfm42.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Sbi86.sys');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(10).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(11).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(12).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(13).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(14).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(15).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(16).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(17).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(18).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(19).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(2).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(3).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(4).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(5).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(6).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(7).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(8).sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(9).sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
    Загрузите карантин согласно приложению №3 правил. Повторите логи. Прикрепите также boot_clr.log из папки AVZ.

  4. #3
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    22
    Вес репутации
    37
    после запуска скрипта в AVZ аваст сразу же нашел Win32:Trojan-gen {Other}(C:\WINDOWS\system32\Drivers\vdi0ote4.sys), Win32:Agent-PTK [Trj](C:\WINDOWS\System32\Drivers\Sbi86.sys), Win32:Agent-LNK [Wrm](C:\WINDOWS\System32\DRIVERS\smtpdrv.sys)

    при попытке выполнить Скрипт лечени/карантина и сбора информации для раздела Помогите компьютер падает в перезагрузку(
    Последний раз редактировалось astral; 31.01.2008 в 15:55.

  5. #4
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    22
    Вес репутации
    37
    после фикса F2 - REG:system .ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\ntos.exe, в HijackThis при последующем сканирование он появляется снова

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Vfm42(*).sys - Trojan-Downloader.Win32.Agent.hlt

    Сделайте лог virusinfo_syscheck.zip.

  7. #6
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    22
    Вес репутации
    37
    готово
    Последний раз редактировалось astral; 31.01.2008 в 15:55.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Выполните:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\ntos.exe'); 
     DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');  
     BC_ImportDeletedList;
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); 
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');  
     BC_DeleteSvc('ip6fw');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    И повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    22
    Вес репутации
    37
    зделано
    Последний раз редактировалось astral; 31.01.2008 в 15:55.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    "Пофиксите" в HijackThis
    Код:
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    В логах всё нормально.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  12. #11
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    22
    Вес репутации
    37
    спасибо большое вроде все нормально в течении суток понаблюдаю если что отпишу

  • Уважаемый(ая) astral, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. win32/wigon + smtpdrv.sys
      От Garfeild в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 03:24
    2. ip6fw.sys и smtpdrv.sys
      От zock в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 22.02.2009, 02:29
    3. smtpdrv.sys Win32/Agent.NBD червь
      От Ice17 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.01.2008, 14:24
    4. ip6fw.sys smtpdrv.sys
      От Andranik в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.10.2007, 02:09
    5. ip6fw.sys и smtpdrv.sys (Agent.NBT червь)
      От Tsubasa в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 11.09.2007, 00:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01522 seconds with 16 queries