-
Junior Member
- Вес репутации
- 60
win32/wigon + smtpdrv.sys
На компьютере судя по всему водятся звери из сабжа.
Антивирус NOD32 + Spybot S&D.
После загрузки NOD32 начинает ругаться на измененные файлы: C:\Windows\temp\BN20.tmp (меняются номера) и C:\Windows\system32\smtpdrv.sys
После это в процессах сразу же появляется несколько "левых" IEXPLORE.EXE процессов.
Так же в директории C:\Windows\temp валяется файл bzu.exe, который появляется при каждой загрузке.
Update:
проблема решилась проверкой с помощью cureit. извините за не соблюдение правил при создании темы. прошу все же ознакомиться с аттачами и указать на возможные проблемы, которые мне не были заметны.
Последний раз редактировалось Garfeild; 15.01.2010 в 12:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip
I am not young enough to know everything...
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('53707962-6F74-2D53-2644-206D7942484F');
QuarantineFile('C:\WINDOWS\system32\drivers\win32.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\ntuser.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Iot27.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Wdi41.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Iot27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wdi41.sys');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\ntuser.exe');
DeleteFile('C:\WINDOWS\system32\drivers\win32.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
-
-
Опоздал маленько...
Добавьте в карантин еще
C:\WINDOWS\system32\drivers\nkv2.sys
I am not young enough to know everything...
-
-
А с файлом HOSTS Вы сами так поработали ?
-
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось Garfeild; 15.01.2010 в 12:34.
-
nkv2.sys - чистый.
Лог старый выложили? Надо новые сделать. Можно начиная с п.10 правил.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 38
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\config\\systemprofile\\ntus er.exe - Trojan-Downloader.Win32.Small.hpb (DrWEB: Trojan.DownLoader.39287)
- c:\\windows\\system32\\drivers\\nkv2.sys - Rootkit.Win32.Agent.tj (DrWEB: Trojan.NtRootKit.561)
- c:\\windows\\system32\\drivers\\win32.exe - Trojan-Downloader.Win32.Small.hpb (DrWEB: Trojan.DownLoader.39287)
-