-
Junior Member
- Вес репутации
- 60
не избавиться от smtpdrv.sys и amvo0.dll
1. не показвывеются скрытые папки и файлы
2. если не удалить smtpdrv.sys через некоторое время обрывается интернет
3. на дисках присутсвуют подозрительные файлы
NTDETECT.COM
semo2x.exe
u.bat
утилита AVZ не сохраняет архив virusinfo_syscure.zip в папке LOG после выполнения указанного в правилах скрипта, поэтому прикрепил 2 лога
Последний раз редактировалось EvgenIg; 21.05.2008 в 17:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Загрузите карантин по этой ссылке. Повторите логи.
-
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {6A87B991-A31F-4130-AE72-6D0C294BF082} - (no file)
O3 - Toolbar: (no name) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(false, true);
StopService('Rxe27');
StopService('Vgv38');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Rxe27', 'Start');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Vgv38', 'Start');
RebootWindows(true);
end.
После перезагрузки еще один:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\siusbmod.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe27.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vgv38.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\Rxe27.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\Rxe27.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vgv38.sys');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxe27.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
карантин загрузил
новые логи
Последний раз редактировалось EvgenIg; 21.05.2008 в 17:18.
-
Junior Member
- Вес репутации
- 60
в безопасном режиме удалось сделать лог
Последний раз редактировалось EvgenIg; 21.05.2008 в 17:18.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('Rxe27');
StopService('Vgv38');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vgv38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe27.sys','');
QuarantineFile('C:\WINDOWS\Rxe27.sys','');
DeleteFile('C:\WINDOWS\Rxe27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vgv38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxe27.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
Загрузите карантин согласно приложению №3 правил. Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось EvgenIg; 21.05.2008 в 17:18.
-
Junior Member
- Вес репутации
- 60
еще есть проблема с Cookies, при новом входе в винду или перезагрузке приходится каждый раз заново вводить пароли на сайты где зареген, хотя раньше такова небыло и все автоматом вводилось
В чем может быть причина?
п.с. как вернуть обратно чтоб скрытые файлы и папки отображались?
-
Вы выполняете скрипты и фиксы которые я даю? По логам не скажешь...
-
-
скачать ...
- отключить антивирус и фаервол
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Rxe27.sys (тоже самое и для Vgv38.sys) ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
затем выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe27.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxe27.sys');
DeleteFile('C:\WINDOWS\Rxe27.sys');
BC_DeleteSvc('Rxe27');
BC_DeleteSvc('Vgv38');
BC_DeleteSvc('smtpdrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
-
-
Выполните также скрипт для отображения скрытых файлов и папок
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 60
to V_Bond не нашел Vgv38.sys
карантин случайно удалил
Последний раз редактировалось EvgenIg; 21.05.2008 в 17:18.
-
делаем все сначала но теперь в safe mode ... и удаляем при помощи рку еще и...
C:\WINDOWS\System32\Drivers\Rxe27.sys
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
-
-
Junior Member
- Вес репутации
- 60
вот это по новой ?
Сообщение от
V_Bond
скачать ...
- отключить антивирус и фаервол
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Rxe27.sys (тоже самое и для Vgv38.sys) ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
затем выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe27.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxe27.sys');
DeleteFile('C:\WINDOWS\Rxe27.sys');
BC_DeleteSvc('Rxe27');
BC_DeleteSvc('Vgv38');
BC_DeleteSvc('smtpdrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
-
-
-
Junior Member
- Вес репутации
- 60
C:\WINDOWS\System32\Drivers\Rxe27.sys - не дал удалить
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys - удалил
карантин закачал
Последний раз редактировалось EvgenIg; 21.05.2008 в 17:18.
-
А что RKU изрекает при попытке удаления C:\WINDOWS\System32\Drivers\Rxe27.sys
?
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
-
-
Junior Member
- Вес репутации
- 60
сори не правильно прочитал сообщение от V_Bond и удалял эти файлы в ручную
а RKU в безопасном режиме не хочет запускаться и выдает "Error loading/opening driver"
-
давайте в обычном режиме .... попробуем воспользоваться RKU
-
-
Junior Member
- Вес репутации
- 60
C:\WINDOWS\System32\Drivers\Rxe27.sys - удалил
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys - удалил
Последний раз редактировалось EvgenIg; 21.05.2008 в 17:18.