-
Junior Member
- Вес репутации
- 60
Win32:Agent_LNK(ip6fw.sys, smtpdrv.sys)
С недавних пор Avast начал находить вот такую штуку Win32:Agent-LNK (ip6fw.sys, smtpdrv.sys)
Воспользовался вашим советом проделал все операции приведеные тут http://virusinfo.info/showthread.php?t=1235 логи AVZ и hijackthis (virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis) прикрепил.
Прошу помочь с данной проблемой.
Последний раз редактировалось astral; 31.01.2008 в 15:55.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Vfm42\0000', 'CSConfigFlags', '1');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Sbi86\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Iwv67');
BC_DeleteSvc('Sbi86');
BC_DeleteSvc('Vfm42');
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('C:\WINDOWS\Sbi86.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Vfm42.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Sbi86.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(10).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(11).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(12).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(13).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(14).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(15).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(16).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(17).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(18).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(19).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(2).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(3).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(4).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(5).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(6).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(7).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(8).sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(9).sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
Загрузите карантин согласно приложению №3 правил. Повторите логи. Прикрепите также boot_clr.log из папки AVZ.
-
-
Junior Member
- Вес репутации
- 60
после запуска скрипта в AVZ аваст сразу же нашел Win32:Trojan-gen {Other}(C:\WINDOWS\system32\Drivers\vdi0ote4.sys), Win32:Agent-PTK [Trj](C:\WINDOWS\System32\Drivers\Sbi86.sys), Win32:Agent-LNK [Wrm](C:\WINDOWS\System32\DRIVERS\smtpdrv.sys)
при попытке выполнить Скрипт лечени/карантина и сбора информации для раздела Помогите компьютер падает в перезагрузку(
Последний раз редактировалось astral; 31.01.2008 в 15:55.
-
Junior Member
- Вес репутации
- 60
после фикса F2 - REG:system .ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\ntos.exe, в HijackThis при последующем сканирование он появляется снова
-
Vfm42(*).sys - Trojan-Downloader.Win32.Agent.hlt
Сделайте лог virusinfo_syscheck.zip.
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось astral; 31.01.2008 в 15:55.
-
Выполните:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('ip6fw');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
-
-
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось astral; 31.01.2008 в 15:55.
-
"Пофиксите" в HijackThis
Код:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
В логах всё нормально.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
-
-
Junior Member
- Вес репутации
- 60
спасибо большое вроде все нормально в течении суток понаблюдаю если что отпишу