При каждом старте Twister AntiVirus V7 обнаруживает заражённый smtpdrv.sys
При подключении флеш памяти вирус пишет на её setup.exe и autorun.inf
Прилагаю принтскрин обнаруженных заражений файлов
Заранее благодарен
При каждом старте Twister AntiVirus V7 обнаруживает заражённый smtpdrv.sys
При подключении флеш памяти вирус пишет на её setup.exe и autorun.inf
Прилагаю принтскрин обнаруженных заражений файлов
Заранее благодарен
Последний раз редактировалось mcaelum; 30.01.2008 в 10:24.
1.Не нужно держать 2 антивируса одновременно, удалите один из них.
2. Отключите наконец восстановление системы !
3. отключить временно антивирус(который останется) и интернет.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('smtpdrv'); SetServiceStart('smtpdrv', 4); DeleteService('smtpdrv'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\System Volume Information\_restore{CB280443-4334-4FCF-ADD5-E46F989E442A}\RP241\A0031250.sys',''); QuarantineFile('C:\PROGRA~1\COMMON~1\FILSEC~1\filpp.sys',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\RACtrl.dll',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\CONFLICT.1\RescueControl.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\ANC.SYS',''); QuarantineFile('Rtl8e_udaliq.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Rtl8e_udaliq.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\SLEE503.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ovc64.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\IBMBLDID.sys',''); QuarantineFile('D:\Install\stickies\shook45.dll',''); QuarantineFile('C:\WINDOWS\system32\tsnp2std.exe',''); QuarantineFile('C:\WINDOWS\system32\tphklock.dll',''); QuarantineFile('C:\WINDOWS\system32\SLEE503.exe',''); QuarantineFile('C:\WINDOWS\system32\emfxp.dll',''); QuarantineFile('C:\Program Files\Steam\bin\vaudio_speex.dll',''); QuarantineFile('C:\Program Files\Steam\bin\mss32_s.dll',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(12); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17085
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Всё сделал жду указаний, надеюсь обо мне незабыли
Последний раз редактировалось mcaelum; 29.01.2008 в 10:08.
обо мне помоему забыли
ANC.sys1, emfxp.dll, filpp.sys, IBMBLDID.sys, mss32_s.dll, RACtrl.dll, RescueControl.dll, shook45.dll, SLEE503.exe_, SLEE503.sys, tphklock.dll, tsnp2std.exe_, vaudio_speex.dll
Вредоносный код в файлах не обнаружен...
сделайте новые логи ...
Прилагаю логи
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ovc64\0000', 'CSConfigFlags', '1'); StopService('smtpdrv'); SetServiceStart('smtpdrv', 4); QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ovc64.sys',''); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ovc64.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('Ovc64'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ..
Карантин и логи
080130_050113_virus_47a058f9be573.zip
Все чисто. Пофиксите в HijackThis:
Посмотрите, что из этого вам нужно:Код:O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Пофиксил теперь при старте smtpdrv.sys непоявляется, вечером попробую флешку подключить, о результате напишу.
Что отключить из Службы и Безопасность не особо знаю потому небудем рисковать.
Флэшка может быть заражена!вечером попробую флешку подключить
Подключайте, удерживая клавишу Shift, чтобы не сработал автозапуск.
В Проводнике включите показ скрытых и системных файлов.
Открывайте флэшку только по дереву в левой части окна Проводника.
Если найдете "чуждые" файлы, аккуратно удалите.
I am not young enough to know everything...
Я так и делал только без shift антивирус всегда стирал setup.exe оставался только autorun.inf
Можно использовать и этот метод
p.s. наконец-то, сошли мозоли с пальца, которым я зажимал Shift
Microsoft Most Valuable Professional in Consumer Security
Флешку вставил, обычный авторан сработал и всё. Спасибо всем за помощь.
Twister AntiVirus V7 - что вот это за зверь? Первый раз встречается.
Нельзя ли ссылочку на сайт производителя.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вроде хитрый зверёк
http://www.filseclab.com/
Офф-топ: Из Китая. У них (бесплатный) файрвол неплохой если правильно настроить...
Paul
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 33
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) mcaelum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.