win32/wigon + smtpdrv.sys

**Garfeild** · 10.01.2008, 16:34

На компьютере судя по всему водятся звери из сабжа.
Антивирус NOD32 + Spybot S&D.
После загрузки NOD32 начинает ругаться на измененные файлы: C:\Windows\temp\BN20.tmp (меняются номера) и C:\Windows\system32\smtpdrv.sys
После это в процессах сразу же появляется несколько "левых" IEXPLORE.EXE процессов.
Так же в директории C:\Windows\temp валяется файл bzu.exe, который появляется при каждой загрузке.

Update:
проблема решилась проверкой с помощью cureit. извините за не соблюдение правил при создании темы. прошу все же ознакомиться с аттачами и указать на возможные проблемы, которые мне не были заметны.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 10.01.2008, 16:38

Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip

**Макcим** · 10.01.2008, 16:41

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DelBHO('53707962-6F74-2D53-2644-206D7942484F');
 QuarantineFile('C:\WINDOWS\system32\drivers\win32.exe','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\ntuser.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Iot27.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Wdi41.sys','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Iot27.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Wdi41.sys');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\ntuser.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\win32.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Загрузите карантин согласно приложению №3 правил. Повторите логи.

**Bratez** · 10.01.2008, 16:41

Опоздал маленько...

Добавьте в карантин еще
C:\WINDOWS\system32\drivers\nkv2.sys

**wise-wistful** · 10.01.2008, 16:45

А с файлом HOSTS Вы сами так поработали ?

**Макcим** · 10.01.2008, 16:48

Spybot постарался.

**Garfeild** · 10.01.2008, 17:15

Необходимые аттачи

**Bratez** · 10.01.2008, 17:29

nkv2.sys - чистый.
Лог старый выложили? Надо новые сделать. Можно начиная с п.10 правил.

**CyberHelper** · 22.02.2009, 03:24

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 38
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\config\\systemprofile\\ntus er.exe - Trojan-Downloader.Win32.Small.hpb (DrWEB: Trojan.DownLoader.39287)
2. c:\\windows\\system32\\drivers\\nkv2.sys - Rootkit.Win32.Agent.tj (DrWEB: Trojan.NtRootKit.561)
3. c:\\windows\\system32\\drivers\\win32.exe - Trojan-Downloader.Win32.Small.hpb (DrWEB: Trojan.DownLoader.39287)

win32/wigon + smtpdrv.sys (заявка № 16206)

Опции темы

win32/wigon + smtpdrv.sys

Итог лечения

Похожие темы

Помогите, подцепил Win32/Wigon.IH, Win32/Wigon.HZ, Win32/Wigon.IH, Win32/SpyDelf.NOL и т.д. [not-a-virus:Monitor.Win32.KGBSpy.cg, Trojan-Downloader.Win32.Agent.bbuv ]

win32\wigon.cn и win32\wigon.mutant.yq

NOD32 бессилен против троянов Win32/Wigon.Z, Wigon.X и Win32/Rootkit.Agent.DP

Win32:Agent_LNK(ip6fw.sys, smtpdrv.sys)

smtpdrv.sys Win32/Agent.NBD червь

Ваши права в разделе