Win32:Agent_LNK(ip6fw.sys, smtpdrv.sys)

[astral]

С недавних пор Avast начал находить вот такую штуку Win32:Agent-LNK (ip6fw.sys, smtpdrv.sys)
Воспользовался вашим советом проделал все операции приведеные тут http://virusinfo.info/showthread.php?t=1235 логи AVZ и hijackthis (virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis) прикрепил.
Прошу помочь с данной проблемой.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Vfm42\0000', 'CSConfigFlags', '1');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Sbi86\0000', 'CSConfigFlags', '1');
 BC_DeleteSvc('Iwv67');
 BC_DeleteSvc('Sbi86');
 BC_DeleteSvc('Vfm42');
 BC_DeleteSvc('smtpdrv');
 BC_DeleteFile('C:\WINDOWS\Sbi86.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Vfm42.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Sbi86.sys');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(10).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(11).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(12).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(13).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(14).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(15).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(16).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(17).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(18).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(19).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(2).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(3).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(4).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(5).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(6).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(7).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(8).sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\Vfm42(9).sys');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

Загрузите карантин согласно приложению №3 правил. Повторите логи. Прикрепите также boot_clr.log из папки AVZ.

[astral]

после запуска скрипта в AVZ аваст сразу же нашел Win32:Trojan-gen {Other}(C:\WINDOWS\system32\Drivers\vdi0ote4.sys), Win32:Agent-PTK [Trj](C:\WINDOWS\System32\Drivers\Sbi86.sys), Win32:Agent-LNK [Wrm](C:\WINDOWS\System32\DRIVERS\smtpdrv.sys)

при попытке выполнить Скрипт лечени/карантина и сбора информации для раздела Помогите компьютер падает в перезагрузку(

[astral]

после фикса F2 - REG:system .ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\ntos.exe, в HijackThis при последующем сканирование он появляется снова

[Макcим]

Vfm42(*).sys - Trojan-Downloader.Win32.Agent.hlt

Сделайте лог virusinfo_syscheck.zip.

[astral]

готово

[rubin]

Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\ntos.exe'); 
 DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');  
 BC_ImportDeletedList;
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); 
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');  
 BC_DeleteSvc('ip6fw');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

[Макcим]

И повторите логи.

[astral]

зделано

[Макcим]

"Пофиксите" в HijackThis

Код:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

В логах всё нормально.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[astral]

спасибо большое вроде все нормально в течении суток понаблюдаю если что отпишу