троян

Printable View

10.09.2007, 09:24
TimurT

Вложений: 3

троян

Какая то штуковина забивает кэш. Почтовые программы перестоют работать. проподает интернет, приходится комп перезагружать.
в папке system32 появляется файл mailspectre.exe
удалять его получается не прикаждом запуске компа, пока не запустится или через безопасный режим.

Воспользовавшись вашим антивирусником ношел в реестре записи связанные с mailspectre.exe после их удаления с инетом стало получше. Теперь комп перезагружать не надо достоточно переконнектится.
но почтовы проги не работают. Наверное блокирует порты почтовых служб. Как избавится от этой штуковины.

Помогите.
10.09.2007, 10:20
drongo

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\runtime.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_QrFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\runtime.SYS');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('SNDSrvc');
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12303[/url]
Сделать новые логи, как в первом вашем сообщении.

P.s. mailspectre.exe-добавить в карантин по пункту 2 правил.
11.09.2007, 08:32
TimurT

Вложений: 3

добавление файла mailspectre.exe в карантин выдало следующее сообщение.

Ошибка карантина файла, попытка прямого чтения (mailspectre.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\mailspectre.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\mailspectre.exe)
Карантин с использованием прямого чтения - ошибка
11.09.2007, 11:31
Numb

Последний карантин пришел пустой. В логах - только остатки от заразы. Очистите корзину, с помощью Hijackthis пофиксите строчку [code]O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code] На всякий случай, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\snmp.exe','');
BC_QrFile('C:\WINDOWS\System32\snmp.exe');
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=12303[/url] , как написано в прил.3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]. Mailspectre.exe вы тоже не прислали, как просил [b]drongo[/b]. Этот файл перестал появляться?
11.09.2007, 11:43
drongo

C:\WINDOWS\mailspectre.exe-если файл есть то запакуйте его в zip , обязательно с паролем virus и пришлите по ссылке в шапке.
11.09.2007, 16:05
TimurT

Mailspectre.exe находился в папке system32.
но после того как я с помошью AVZ нашел в реестре ее следы и удалил все она перестала появляться.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

В начале подумал что Symantec барахлит. снес его. Корректно не получалось, пришлось как всегда бревном по металу. Оказалось бревно было крепкое а метал хрупким. Вроде все красиво убралось. Но теперь когда запускаещь ЕХе-шник какой нибудь выкидывает ошибку и ссылается на длл файл из не существующей папки symantec-а.
Что если я все записи реестра связанные с symantec в AVZ найденные удалю. Не будет ли полной остановки системы?
11.09.2007, 16:12
SuperBrat

[QUOTE='TimurT;133416']Что если я все записи реестра связанные с symantec в AVZ найденные удалю. Не будет ли полной остановки системы?[/QUOTE]
Утилита для удаления остатков продукта от Symantec:
[URL="ftp://ftp.symantec.com/public/english_us_canada/removal_tools/Norton_Removal_Tool.exe"]Norton Removal Tool[/URL]
Попробуйте сначала ее. Скачайте свежую версию и запустите.
11.09.2007, 16:36
TimurT

symantec

поиск показал следующее.

Можно ли их удалить из реестра, без последствий?

Модуль для поиска данных в реестре, Зайцев О.В., 2004., [url]http://z-oleg.com/secur[/url]
Запущен поиск ключей, содержащих образец "symantec"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{536604C2-B82E-11D1-8252-00A0C95C0756}\ = Symantec AntiVirus UI
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LDVPUI.LDVPUICtrl.1\ = Symantec AntiVirus UI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus\ =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SNDSrvc\Description = Symantec Network Drivers Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SNDSrvc\Description = Symantec Network Drivers Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc\Description = Symantec Network Drivers Service
-- Поиск в HKEY_CURRENT_USER --
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item14 = 27,27,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\LUINFO.INF"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item15 = 0,0,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\LUInit.exe"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item9 = 0,0,0,0,0,"$C:\Program Files\Symantec\SYMEVENT.CAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item10 = 33,32,0,0,0,"$C:\Program Files\Symantec\SYMEVENT.INF"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item11 = 0,0,0,0,0,"$C:\Program Files\Symantec\SYMEVENT.SYS"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item12 = 0,0,0,0,0,"$C:\Program Files\Symantec\S32EVNT1.DLL"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item13 = 0,0,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\ludirloc.dat"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item16 = 6,6,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\LUInit.ini"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item21 = 0,0,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\SymantecRootInstaller.log"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item17 = 0,0,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\LUINSDLL.DLL"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item18 = 0,0,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\luproviderinst.jar"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item19 = 0,0,0,0,2,"$C:\Program Files\Symantec\LiveUpdate\LuResult.txt"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item20 = 291,32,0,0,2,"$C:\Program Files\Symantec\LiveUpdate\README.TXT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item6 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\TINF.DAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item7 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\VIRSCAN.INF"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item8 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\ZDONE.DAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item5 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\TCDEFS.DAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item4 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\SCRAUTH.DAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item3 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\NCSACERT.TXT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item2 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\HH"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item1 = 23,23,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\CATALOG.DAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPositions\Item0 = 38,32,0,0,0,"$C:\Program Files\Symantec AntiVirus\SCANCFG.DAT"
HKEY_CURRENT_USER\Software\Far\Viewer\LastPositions\Item62 = 24,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\savrt.inf"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Symantec Client Security\ =
-- Поиск в HKEY_CLASSES_ROOT --
HKEY_CLASSES_ROOT\CLSID\{536604C2-B82E-11D1-8252-00A0C95C0756}\ = Symantec AntiVirus UI
HKEY_CLASSES_ROOT\LDVPUI.LDVPUICtrl.1\ = Symantec AntiVirus UI
-- Поиск завершен --
Просмотрено ключей: 141985
11.09.2007, 19:22
SuperBrat

[B]TimurT[/B], не все ключи в реестре от Symantec содержат слово "symantec". Родная утилита производителя более предпочтительна.
12.09.2007, 08:21
TimurT

использовал родную утилиту.
Последние записи из реестра после работы с утилитой.
Ну так можно ли удалять оставшиеся записи?
12.09.2007, 09:52
SuperBrat

Попробуйте. Важных там нет, записи из редактора менеджера FAR в основном.

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

[QUOTE='TimurT;133416'] Но теперь когда запускаещь ЕХе-шник какой нибудь выкидывает ошибку и ссылается на длл файл из не существующей папки symantec-а.[/QUOTE]
AVZ: Файл - Восстановление системы - пункт 1.
22.02.2009, 02:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]