Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Всё о нём же - smtpdrv.sys (заявка № 16039)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    28
    Вес репутации
    44

    Thumbs up Всё о нём же - smtpdrv.sys

    Ситуация стандартная. Антивирус находит, делаешь reboot компа а он снова появляется. + ко всему прочему стал сыпаться левый трафик (10-15 кб.сек). Пожалуйста помогите!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wwa03.sys','');
     QuarantineFile('C:\WINDOWS\Wwa03.sys','');
     DeleteFile('C:\WINDOWS\Wwa03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wwa03.sys');
    BC_ImportALL;
    BC_DeleteSvc('Wwa03');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.
    virusinfo_cure.zip прикреплять не надо, дожен быть еще virusinfo_syscheck.zip
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    28
    Вес репутации
    44
    Скрипт выполнил, перезагрузился, по прежнему находит вирус, левый трафик продолжает сыпаться. Карантин отправил. Высылаю новые логи
    virusinfo_syscheck.zip почему то AVZ не делает, не могу его найти, в чем проблема может быть?
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Wwa03', 'Start');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     BC_DeleteSvc('smtpdrv');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    затем скрипт из поста 2 ...
    повторите логи ...

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    28
    Вес репутации
    44
    Выполнил оба скрипта, выкладываю новые логи, вирус ещё жив
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Ad-Aware удалите ... затем выполните скрипты ...

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    28
    Вес репутации
    44
    Ad-Aware удалил, выполнил скрипты, вирус по прежнему жив, выкладываю логи
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    странно ... отключитесь от интернет ... закройте все программы .. очистите временные интернет файлы ... и выполните скрипты ...

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    28
    Вес репутации
    44
    Не помогло

    Добавлено через 1 минуту

    Почему то AVZ ничего не нашёл, но трафик сыпался, запустил Касперского и он нашёл пакость
    Что делать?
    Последний раз редактировалось ~killer~; 06.01.2008 в 21:28. Причина: Добавлено

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    все нашел авз не удалил ... что -то мешало ... сделайте лог ... посмотрим .. удалил ли все антивирус ...

  12. #11
    Visiting Helper Репутация Репутация Репутация Аватар для XL
    Регистрация
    25.02.2006
    Адрес
    почти Москва
    Сообщений
    157
    Вес репутации
    43
    1. Драйвер tcpip.sys у Вас патченый (скорее всего, постарался один из троянов, чтобы спамить за пределами 100 одновременных сессий)
    Файл неплохо бы заменить из дистрибутива с операционной системой. Для этого установите диск с Windows в cdrom. Далее пуск - выполнить - введите cmd и нажмите enter. В черном окошке введите:

    expand D:\i386\tcpip.sy_ C:\windows\system32\drivers\tcpip.sys
    вместо D:\ - может быть другая буква, соответствующая СD приводу

    и нажмите Enter

    2. Два оставшихся руткита попробуем прибить через Rootkit Unhooker.
    Скачайте Rootkit Unhooker:
    http://ifolder.ru/4853411
    установите программу и запустите ее. Далее откройте меню Tools, далее выберите wipe/copy file (затереть или скопировать в каталог файл), затем жмете browse и находите файл руткита по заданному пути на диске (драйвер видим на диске). После выбора файла отмечаете пункт direct file content wiping, жмете do opperation и закрываете программу. Далее перезагружаете компьютер.

    Проделайте это с тремя файлами по следующим адресам:
    C:\WINDOWS\Wwa03.sys
    C:\WINDOWS\system32\drivers\smtpdrv.sys
    C:\WINDOWS\System32\Drivers\Wwa03.sys
    3. Повторите лог
    Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    28
    Вес репутации
    44
    При отключённом инете вроде всё чисто, антивирусы ничего не находят, как только его включаешь начинается литься лишний трафик и антивирусы снова находят вирусняк
    Попробую сделать как написал XL

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    28
    Вес репутации
    44
    Вроде всё правильно сделал, паразитный траф перестал сыпаться, антивирусы ничего не находят, выкладываю лог.
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Аватар для XL
    Регистрация
    25.02.2006
    Адрес
    почти Москва
    Сообщений
    157
    Вес репутации
    43
    В модули пространства ядра руткиты попадать перестали, что уже хорошо.
    Добьем остатки в реестре и на диске скриптом:

    Код:
    begin
    SearchRootkit(true, true);
     DeleteService('smtpdrv');
     DeleteService('Wwa03');
     DeleteFile('C:\WINDOWS\Wwa03.sys');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Wwa03');
     BC_DeleteFile('C:\WINDOWS\Wwa03.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните такой скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\Wwa03.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\Wwa03.sys');
     BC_DeleteSvc('Wwa03');
     BC_DeleteSvc('smtpdrv');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите лог авз ...

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    28
    Вес репутации
    44
    Касперский орёт на этот файл - C:\WINDOWS\Wwa03.sys что в нём троян
    Сейчас выполню 2 скрипта и выложу лог

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    на время выполнения скрипта отключите антивирус ...

  19. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    28
    Вес репутации
    44
    Цитата Сообщение от V_Bond Посмотреть сообщение
    на время выполнения скрипта отключите антивирус ...
    Ок, все операции по очереди стараюсь делать
    После скриптов вроде молчит антивирус, вот логи
    Вложения Вложения

  20. #19
    Visiting Helper Репутация Репутация Репутация Аватар для XL
    Регистрация
    25.02.2006
    Адрес
    почти Москва
    Сообщений
    157
    Вес репутации
    43
    трояны убиты!

    что из этого Вам не нужно:

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    ?
    Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...

  21. #20
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.01.2008
    Адрес
    Moscow
    Сообщений
    28
    Вес репутации
    44
    Да в принципе ничего не нужно
    Опишите пожалуйста как всё это закрыть, а я подумаю что именно закрыть/оставить
    И ещё вопрос:
    При перезагрузке компа после окна WindowsXP появляется буквально секунды на 2 синий экран с надписью - isdelete programm not found... дальше не успел запомнить. Стало появляться после того как начал давить троянов.

  • Уважаемый(ая) ~killer~, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. smtpdrv.sys
      От Holy в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:38
    2. smtpdrv.sys
      От Димитрий в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:33
    3. все тот же smtpdrv.sys
      От pod в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:17
    4. smtpdrv.sys
      От Denis79 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.01.2008, 18:45
    5. smtpdrv.sys
      От alex31 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.01.2008, 22:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00484 seconds with 22 queries