не избавиться от smtpdrv.sys и amvo0.dll

**EvgenIg** · 07.01.2008, 18:18

1. не показвывеются скрытые папки и файлы
2. если не удалить smtpdrv.sys через некоторое время обрывается интернет
3. на дисках присутсвуют подозрительные файлы
NTDETECT.COM
semo2x.exe
u.bat
утилита AVZ не сохраняет архив virusinfo_syscure.zip в папке LOG после выполнения указанного в правилах скрипта, поэтому прикрепил 2 лога

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 07.01.2008, 18:24

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
 QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo0.dll');
 DeleteFile('C:\WINDOWS\system32\wincab.sys');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(true);
end.

Загрузите карантин по этой ссылке. Повторите логи.

**Bratez** · 07.01.2008, 18:28

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {6A87B991-A31F-4130-AE72-6D0C294BF082} - (no file)
O3 - Toolbar: (no name) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - (no file)

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(false, true);
 StopService('Rxe27');
 StopService('Vgv38');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Rxe27', 'Start');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Vgv38', 'Start');
 RebootWindows(true); 
end.

После перезагрузки еще один:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\siusbmod.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe27.sys','');
 QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vgv38.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('C:\WINDOWS\Rxe27.sys','');
 QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo0.dll');
 DeleteFile('C:\WINDOWS\Rxe27.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vgv38.sys');
 DeleteFile('C:\WINDOWS\system32\wincab.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rxe27.sys');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

**EvgenIg** · 07.01.2008, 19:16

карантин загрузил
новые логи

**EvgenIg** · 07.01.2008, 20:46

в безопасном режиме удалось сделать лог

**Макcим** · 07.01.2008, 20:59

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 StopService('Rxe27');
 StopService('Vgv38');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vgv38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe27.sys','');
 QuarantineFile('C:\WINDOWS\Rxe27.sys','');
 DeleteFile('C:\WINDOWS\Rxe27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vgv38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rxe27.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

Загрузите карантин согласно приложению №3 правил. Повторите логи.

**EvgenIg** · 07.01.2008, 21:40

карантин загрузил
логи

**EvgenIg** · 07.01.2008, 21:48

еще есть проблема с Cookies, при новом входе в винду или перезагрузке приходится каждый раз заново вводить пароли на сайты где зареген, хотя раньше такова небыло и все автоматом вводилось
В чем может быть причина?
п.с. как вернуть обратно чтоб скрытые файлы и папки отображались?

**Макcим** · 07.01.2008, 21:51

Вы выполняете скрипты и фиксы которые я даю? По логам не скажешь...

**V_Bond** · 07.01.2008, 21:53

скачать ...
- отключить антивирус и фаервол
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Rxe27.sys (тоже самое и для Vgv38.sys) ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
затем выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe27.sys','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rxe27.sys');
 DeleteFile('C:\WINDOWS\Rxe27.sys');
 BC_DeleteSvc('Rxe27');
 BC_DeleteSvc('Vgv38');
 BC_DeleteSvc('smtpdrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

**Макcим** · 07.01.2008, 22:16

Выполните также скрипт для отображения скрытых файлов и папок

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(true);
end.

**EvgenIg** · 07.01.2008, 23:49

to V_Bond не нашел Vgv38.sys
карантин случайно удалил

**V_Bond** · 07.01.2008, 23:58

делаем все сначала но теперь в safe mode ... и удаляем при помощи рку еще и...
C:\WINDOWS\System32\Drivers\Rxe27.sys
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys

**EvgenIg** · 08.01.2008, 00:03

вот это по новой ?

Сообщение от V_Bond

скачать ...
- отключить антивирус и фаервол
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Rxe27.sys (тоже самое и для Vgv38.sys) ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
затем выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe27.sys','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rxe27.sys');
 DeleteFile('C:\WINDOWS\Rxe27.sys');
 BC_DeleteSvc('Rxe27');
 BC_DeleteSvc('Vgv38');
 BC_DeleteSvc('smtpdrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

**V_Bond** · 08.01.2008, 00:03

да ....

**EvgenIg** · 08.01.2008, 00:27

C:\WINDOWS\System32\Drivers\Rxe27.sys - не дал удалить

C:\WINDOWS\system32\DRIVERS\smtpdrv.sys - удалил

карантин закачал

XL · 08.01.2008, 01:11

А что RKU изрекает при попытке удаления C:\WINDOWS\System32\Drivers\Rxe27.sys
?

**EvgenIg** · 08.01.2008, 13:19

сори не правильно прочитал сообщение от V_Bond и удалял эти файлы в ручную

а RKU в безопасном режиме не хочет запускаться и выдает "Error loading/opening driver"

**V_Bond** · 08.01.2008, 13:22

давайте в обычном режиме .... попробуем воспользоваться RKU

**EvgenIg** · 08.01.2008, 13:38

C:\WINDOWS\System32\Drivers\Rxe27.sys - удалил
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys - удалил

не избавиться от smtpdrv.sys и amvo0.dll (заявка № 16073)

Опции темы

не избавиться от smtpdrv.sys и amvo0.dll

Похожие темы

Помогите - amvo0.dll

Вирус amvo0.dll

autoran.inf / amvo0.dll

Невозможно избавиться от amvo0.dll и amvo1.dll

amvo0.dll

Ваши права в разделе