Показано с 1 по 19 из 19.

Trojan Horse smtpdrv.sys+левый трафик (заявка № 16083)

  1. #1
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    15
    Вес репутации
    33

    Thumbs up Trojan Horse smtpdrv.sys+левый трафик

    Symantec Antivirus 10.1.6.6000+свежее обновление от 27.12.07 баз вирусов постоянно находит один и тот же Trojan Horse smtpdrv.sys по следующему пути E:\WINDOWS\system32\drivers, после удаления (лечения) файла и перезагрузки вирус появляется опять. При подключении к интернет постоянно капает трафик. Помимо этого периодически, как я понимаю, летит e-mail спам десятками писем который судорожно пытается сканировать и фильтровать антивирус...постоянно всплывают окошечки с кнопочкой ok. Помимо этого установлен Spy Sweeper который постоянно при подключении к интернет пишет следующее: The Internet Communication shield has blocked access to: 67.18.114.98 и ещё 216.195.55.10.

    Убедительная просьба, помогите!!!

    С уважением
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Удалите Spy Sweeper. Он просто бесполезен.

    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('protect');
     StopService('clean3237-59cf');
     StopService('wscsvcSwPrv');
     StopService('msupdate');
     StopService('Fil35');
     QuarantineFile('E:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('E:\WINDOWS\system32\clean3237-59cf.sys','');
     QuarantineFile('E:\WINDOWS\System32\Drivers\Fil35.sys','');
     QuarantineFile('E:\WINDOWS\system32\LE043.tmp.exe','');
     QuarantineFile('e:\windows\system32\vhosts.exe','');
     QuarantineFile('E:\WINDOWS\Fil35.sys','');
     QuarantineFile('E:\WINDOWS\system32\sysfldr.dll','');
     DeleteFile('E:\WINDOWS\system32\sysfldr.dll');
     DeleteFile('E:\WINDOWS\Fil35.sys');
     DeleteFile('e:\windows\system32\vhosts.exe');
     DeleteFile('E:\WINDOWS\system32\LE043.tmp.exe');
     DeleteFile('E:\WINDOWS\system32\clean3237-59cf.sys');
     DeleteFile('E:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('E:\WINDOWS\Temp\5559.exe');
     DeleteFile('E:\System Volume Information\_restore{53A146BC-4DB6-4C55-B3F2-296A3FC75044}\RP46\A0001821.sys');
     DeleteFile('E:\System Volume Information\_restore{53A146BC-4DB6-4C55-B3F2-296A3FC75044}\RP46\A0001822.exe');
     DeleteFile('E:\System Volume Information\_restore{53A146BC-4DB6-4C55-B3F2-296A3FC75044}\RP46\A0001823.sys');
     DeleteFile('E:\System Volume Information\_restore{53A146BC-4DB6-4C55-B3F2-296A3FC75044}\RP46\A0001824.sys');
     DeleteFile('E:\System Volume Information\_restore{53A146BC-4DB6-4C55-B3F2-296A3FC75044}\RP46\A0001825.sys');
     DeleteFile('E:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UVO5832X\5559[1].exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    15
    Вес репутации
    33

    Сделал как Вы посоветовали

    Карантин отправил сразу после выполнения предложенного Вами скрипта...после чего повторил логи.

    Кстати, после выполнения скрипта и перезагрузки компьютера антивирус нашёл:
    Trojan.Peacomm avz00001.dta
    Trojan.Peacomm avz00002.dta
    Trojan.Srizbi avz00003.dta
    Trojan.Srizbi avz00004.dta

    P/S Подключение у меня к интернету ADSL+Спутник (поэтому в обозревателях прописаны IP так же и в Win32 Adaptere)

    Что можно предпринять дальше,
    с уважением
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    15
    Вес репутации
    33
    Да, Symantec Antivirus выгрузить не смог (не знаю как это сделать, а просто так он не выгружается, через ctrl-alt-del непонятно какой процесс завершать...), поэтому при проведении всех логов смог только отключить его off enable auto-protect...это очень критично в конечном итоге???

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('CSRBC01');
     StopService('Fil35');
     SetServiceStart('CSRBC01', 4);
     SetServiceStart('Fil35', 4);
     QuarantineFile('E:\WINDOWS\system32\Drivers\csrbc01.sys','');
     DeleteFile('E:\WINDOWS\system32\Drivers\csrbc01.sys');
     BC_DeleteFile('E:\WINDOWS\system32\Drivers\csrbc01.sys');
     DeleteFile('E:\WINDOWS\system32\Drivers\Fil35.sys');
     BC_DeleteFile('E:\WINDOWS\system32\Drivers\Fil35.sys');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O4 - HKLM\..\Run: [KernelFaultCheck] E:\WINDOWS\system32\dumprep 0 -k
    O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

    Symantec Antivirus - один из самых бесполезных антивирусов. Удалите его и поставьте что-нибудь другое. Spy Sweeper почему не удалили? Если Вы считаете что он помогает безопасности, Вы сильно заблуждаетесь...

  7. #6
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    15
    Вес репутации
    33

    Trojan Horse smtpdrv.sys+левый трафик

    Карантин отправил...

    Логи прилагаю:


    P/S Какой trial антивирус посоветуете использовать...спиок рекомендованных смотрел, но там дата аж 2004г.?!
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    спиок рекомендованных смотрел, но там дата аж 2004г.?!
    Некоторые вещи не меняются

  9. #8
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('smtpdrv');
     SetServiceStart('smtpdrv', 4);
     DeleteService('smtpdrv');
     DeleteFile('E:\WINDOWS\Fil35.sys');
     BC_DeleteFile('E:\WINDOWS\Fil35.sys');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Повторите логи.

    Добавлено через 4 минуты

    Цитата Сообщение от dmitros Посмотреть сообщение
    P/S Какой trial антивирус посоветуете использовать...спиок рекомендованных смотрел, но там дата аж 2004г.?!
    Список постоянно пересматривается, редактируется. Вам из платных или бесплатных? Платные это КАВ или Др. Веб однозначно. Бесплатные Авира или АВГ.
    Последний раз редактировалось Макcим; 07.01.2008 в 22:58. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    15
    Вес репутации
    33

    Trojan Horse smtpdrv.sys+левый трафик

    Вот логи!

    Антивирус хотелось бы конечно бесплатный и действенный!!!
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    15
    Вес репутации
    33

    Trojan Horse smtpdrv.sys+левый трафик

    Сейчас проверил путём выхода в интернет и auto-protecta...до сего времени вирусов не обнаружено и трафик пришёл в норму!!!

    ВОТ ОГРОМНОЕ СПАСИБО!!!

    P/S Скажите по логам всё чисто?

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Чисто. Вы только рекомендацию насчет антивируса выполните, а то будете постоянным клиентом.

    Что из этого нужно?
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: разрешен автоматический вход в систему

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выолните в АВЗ

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     DeleteFile('E:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    повторите лог virusinfo_syscure.zip
    Последний раз редактировалось wise-wistful; 08.01.2008 в 00:32.

  14. #13
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    15
    Вес репутации
    33

    Trojan Horse smtpdrv.sys+левый трафик

    Это точно нужно:
    Безопасность: разрешен автоматический вход в систему

    Это не нужно:
    Безопасность: к ПК разрешен доступ анонимного пользователя
    Безопасность: разрешен автозапуск программ с CDROM

    А по службам я ничего сказать не могу, знаний не хватает...

    Рекомендации wise-wistful есть смысл выполнять???

    Заранее благодарю!

  15. #14
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    15
    Вес репутации
    33

    Вот последний лог

    Что скажите???

    С уважением!
    Вложения Вложения

  16. #15
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    E:\WINDOWS\system32\DRIVERS\smtpdrv.sys - убит

    По службам и прочему - компьютер в локальной сети или нет?

  17. #16
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    15
    Вес репутации
    33

    По службам и прочему

    Нет

    P/S Спасибо за совет!
    Бесплатные Авира или АВГ.

    Извините, не подскажите конкретные названия рекомендованных антивирусников и где я могу их скачать. Интересуют бесплатные версии с возможностью скачивания обновлений баз вирусов.

    Заранее благодарю

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497

  19. #18
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от dmitros Посмотреть сообщение
    Нет

    P/S Спасибо за совет!
    Бесплатные Авира или АВГ.

    Извините, не подскажите конкретные названия рекомендованных антивирусников и где я могу их скачать. Интересуют бесплатные версии с возможностью скачивания обновлений баз вирусов.

    Заранее благодарю
    Оригинальное название Avira и AVG. Ссылка на Avira есть в теме "Рекомендуемые антивирусы", AVG посмотрите здесь.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. e:\\windows\\fil35.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)
      2. e:\\windows\\system32\\config\\systemprofile\\loca l settings\\temporary internet files\\content.ie5\\uvo5832x\\5559[1].exe - Trojan-Dropper.Win32.Small.bde (DrWEB: Trojan.MulDrop.6470)
      3. e:\\windows\\system32\\drivers\\fil35.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)
      4. e:\\windows\\system32\\le043.tmp.exe - Backdoor.Win32.IRCBot.ayk (DrWEB: BackDoor.IRC.Cemka)
      5. e:\\windows\\system32\\sysfldr.dll - Backdoor.Win32.SdBot.cpr (DrWEB: BackDoor.Mahaon)
      6. e:\\windows\\system32\\vhosts.exe - Trojan-Downloader.Win32.Dirat.aw (DrWEB: Trojan.MulDrop.8347)
      7. e:\\windows\\temp\\5559.exe - Trojan-Dropper.Win32.Small.bde (DrWEB: Trojan.MulDrop.6470)


  • Уважаемый(ая) dmitros, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. левый трафик?..
      От SeGaMD3 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.03.2010, 16:55
    2. Левый трафик
      От DZon в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.12.2009, 15:12
    3. левый трафик. вирус ?
      От raman в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:42
    4. Подозрение на левый трафик
      От Sergei ya в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.12.2008, 19:17
    5. Левый трафик.
      От choogoon в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.04.2008, 09:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00196 seconds with 24 queries