SAV не спас от вируса - я в прострации

[aezh]

Как-то все одномоментно случилось Opera 75 перестала загружаться и система SymantecAntivirus Corporate Edition 8 нашла и продолжает находить вирусы в файлах ip6fw.sys и MailSpectre.exe, хоть Outpost ver 3.51.748 и не сигнализировал о нападении.
virusinfo_syscheck.zip не создается - AVZ зависает и не отвечает
Подскажите плз последовательность лечения.

[Rene-gad]

Opera 75 ....SymantecAntivirus Corporate Edition 8 .. Outpost ver 3.51.748

Так у Вас же все приложения устаревшие: сегодня актуальны Опера 9.23, Симантек 10 и Аутпост 4 . И лога одного не хватает.

[PavelA]

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\unins000.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 QuarantineFile('C:\Documents and Settings\User\svchost.exe','');
 QuarantineFile('c:\windows\system32\mailspectre.exe','');
 BC_DeleteFile('c:\windows\system32\mailspectre.exe');
 DeleteFile('c:\windows\system32\mailspectre.exe');
 BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
 BC_DeleteSvc('runtime2');
 BC_DeleteFile('C:\Documents and Settings\User\svchost.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки загрузить карантин через ссылку вверху темы.
Сделать новые логи.

[Numb]

В дополнение, на время выполнения скриптов, отключитесь от сети, отключите автоматическое восстановление системы и остановите монитор Symantec-а . После выполнения скрипта , предложенного PavelA, прежде чем отсылать карантин и делать новые логи выполните еще один скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys','');
 DeleteFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys');
 BC_DeleteFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

[aezh]

Realtime Protection Symantec'а отключен и выход в сеть тоже.

PavelA, зависает AVZ в процессе выполнения скрипта, приходиться перезагружать ПК, подскажите, по другому (без перезагрузки) можно?

Версии приложения меня устраивают, ведь лучшее иногда враг хорошего,
Rene-gad.

[Rene-gad]

Версии приложения меня устраивают, ведь лучшее иногда враг хорошего,

эта точка зрения здесь не применима, т.к. старые версии всех без исключения браузеров дырявы а антвирусы и файрволы со старыми движками не защищают от современных напастей.

[PavelA]

Realtime Protection Symantec'а отключен и выход в сеть тоже.

PavelA, зависает AVZ в процессе выполнения скрипта, приходиться перезагружать ПК, подскажите, по другому (без перезагрузки) можно?

Попробуй выполнить это в защищенном режиме. Скрипт сейчас вставлю.

Код:

begin
SearchRootkit(true, true);
 QuarantineFile('c:\windows\system32\unins000.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 QuarantineFile('C:\Documents and Settings\User\svchost.exe','');
 QuarantineFile('c:\windows\system32\mailspectre.exe','');
// BC_DeleteFile('c:\windows\system32\mailspectre.exe');
 DeleteFile('c:\windows\system32\mailspectre.exe');
//BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
 DeleteService('runtime2');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
ExecuteSysClean;
end.

Насчет версии антивируса и броузера зря ты так. видишь какой зверинец завелся на компьютере.

[aezh]

Обновила я версии Symantec Antivirus CE до 10.1 и Opera до 9.23, скачала новую версию баз virus definishions, обновила их и получила таки архивы из AVZ для формирования темы. Но что-то перестали скачиваться новые базы



Все таки убеждаюсь в том, что какой-то вирус бродит в системе - броузер Opera запускается единожды после установки, а в дальнейшем по двойному клику на иконке не запускается, а говорят, что это однозначный признак заражения.

Посоветуйте плз, что за вирус в компе и как его лечить.

[V_Bond]

вам же советуют....
выполните скрипт ....

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');
 QuarantineFile('c:\windows\system32\unins000.dll','');
 QuarantineFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('C:\Documents and Settings\User\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
 DeleteFile('C:\Documents and Settings\User\svchost.exe');
 DeleteFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[aezh]

V_Bond, высылаю карантин. А логи надо обновить и снова присылать? А почему базы-то AVZ перестали обновляться?

[Numb]

Пожалуйста, уберите архив virus.zip из вложений в теме и загрузите его по ссылке http://virusinfo.info/upload_virus.php?tid=11968 . В дополнение, повторите логи.

[aezh]

Отправила.
Во вложении - новые логи.

[V_Bond]

c:\windows\system32\unins000.dll BitDefender Trojan.Spy.BZub.ET
профиксить ....

Код:

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\unins000.dll

выполните скрипт ....

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('c:\windows\system32\unins000.dll');
 BC_DeleteFile('c:\windows\system32\unins000.dll');   
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи ... AVZ

[PavelA]

\SystemRoot\System32\DRIVERS\smtpdrv.sys - Email-Worm.Win32.Agent.l(по Касперскому)
'C:\WINDOWS\system32\ieudinit.exe' - чистый

[aezh]

Новые логи

[V_Bond]

в логах ничего зловредного не видно ... ....

[aezh]

V_Bond, PavelA,Numb, спасибо. Буду надеяться на лучшее.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\smtpdrv.sys - Email-Worm.Win32.Agent.l (DrWEB: Trojan.NtRootKit.360)
  2. c:\\windows\\system32\\unins000.dll - Trojan-Spy.Win32.BZub.nw (DrWEB: Trojan.PWS.Tanspy.1277)