Trojan Horse smtpdrv.sys+левый трафик

Printable View

07.01.2008, 20:45
dmitros

Вложений: 3

Trojan Horse smtpdrv.sys+левый трафик

Symantec Antivirus 10.1.6.6000+свежее обновление от 27.12.07 баз вирусов постоянно находит один и тот же Trojan Horse smtpdrv.sys по следующему пути E:\WINDOWS\system32\drivers, после удаления (лечения) файла и перезагрузки вирус появляется опять. При подключении к интернет постоянно капает трафик. Помимо этого периодически, как я понимаю, летит e-mail спам десятками писем который судорожно пытается сканировать и фильтровать антивирус...постоянно всплывают окошечки с кнопочкой ok. Помимо этого установлен Spy Sweeper который постоянно при подключении к интернет пишет следующее: The Internet Communication shield has blocked access to: 67.18.114.98 и ещё 216.195.55.10.

Убедительная просьба, помогите!!!

С уважением
07.01.2008, 20:53
Макcим

Удалите Spy Sweeper. Он просто бесполезен.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('protect');
StopService('clean3237-59cf');
StopService('wscsvcSwPrv');
StopService('msupdate');
StopService('Fil35');
QuarantineFile('E:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('E:\WINDOWS\system32\clean3237-59cf.sys','');
QuarantineFile('E:\WINDOWS\System32\Drivers\Fil35.sys','');
QuarantineFile('E:\WINDOWS\system32\LE043.tmp.exe','');
QuarantineFile('e:\windows\system32\vhosts.exe','');
QuarantineFile('E:\WINDOWS\Fil35.sys','');
QuarantineFile('E:\WINDOWS\system32\sysfldr.dll','');
DeleteFile('E:\WINDOWS\system32\sysfldr.dll');
DeleteFile('E:\WINDOWS\Fil35.sys');
DeleteFile('e:\windows\system32\vhosts.exe');
DeleteFile('E:\WINDOWS\system32\LE043.tmp.exe');
DeleteFile('E:\WINDOWS\system32\clean3237-59cf.sys');
DeleteFile('E:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('E:\WINDOWS\Temp\5559.exe');
DeleteFile('E:\System Volume Information\_restore{53A146BC-4DB6-4C55-B3F2-296A3FC75044}\RP46\A0001821.sys');
DeleteFile('E:\System Volume Information\_restore{53A146BC-4DB6-4C55-B3F2-296A3FC75044}\RP46\A0001822.exe');
DeleteFile('E:\System Volume Information\_restore{53A146BC-4DB6-4C55-B3F2-296A3FC75044}\RP46\A0001823.sys');
DeleteFile('E:\System Volume Information\_restore{53A146BC-4DB6-4C55-B3F2-296A3FC75044}\RP46\A0001824.sys');
DeleteFile('E:\System Volume Information\_restore{53A146BC-4DB6-4C55-B3F2-296A3FC75044}\RP46\A0001825.sys');
DeleteFile('E:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UVO5832X\5559[1].exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
07.01.2008, 21:45
dmitros

Вложений: 3

Сделал как Вы посоветовали

Карантин отправил сразу после выполнения предложенного Вами скрипта...после чего повторил логи.

Кстати, после выполнения скрипта и перезагрузки компьютера антивирус нашёл:
Trojan.Peacomm avz00001.dta
Trojan.Peacomm avz00002.dta
Trojan.Srizbi avz00003.dta
Trojan.Srizbi avz00004.dta

P/S Подключение у меня к интернету ADSL+Спутник (поэтому в обозревателях прописаны IP так же и в Win32 Adaptere)

Что можно предпринять дальше,
с уважением
07.01.2008, 21:49
dmitros

Да, Symantec Antivirus выгрузить не смог (не знаю как это сделать, а просто так он не выгружается, через ctrl-alt-del непонятно какой процесс завершать...), поэтому при проведении всех логов смог только отключить его off enable auto-protect...это очень критично в конечном итоге???
07.01.2008, 22:01
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('CSRBC01');
StopService('Fil35');
SetServiceStart('CSRBC01', 4);
SetServiceStart('Fil35', 4);
QuarantineFile('E:\WINDOWS\system32\Drivers\csrbc01.sys','');
DeleteFile('E:\WINDOWS\system32\Drivers\csrbc01.sys');
BC_DeleteFile('E:\WINDOWS\system32\Drivers\csrbc01.sys');
DeleteFile('E:\WINDOWS\system32\Drivers\Fil35.sys');
BC_DeleteFile('E:\WINDOWS\system32\Drivers\Fil35.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O4 - HKLM\..\Run: [KernelFaultCheck] E:\WINDOWS\system32\dumprep 0 -k
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)[/CODE]
Загрузите карантин согласно приложению №3 правил. Повторите логи.

Symantec Antivirus - один из самых бесполезных антивирусов. Удалите его и поставьте что-нибудь другое. Spy Sweeper почему не удалили? Если Вы считаете что он помогает безопасности, Вы сильно заблуждаетесь...
07.01.2008, 22:50
dmitros

Вложений: 3

Trojan Horse smtpdrv.sys+левый трафик

Карантин отправил...

Логи прилагаю:

P/S Какой trial антивирус посоветуете использовать...спиок рекомендованных смотрел, но там дата аж 2004г.?!
07.01.2008, 22:52
rubin

[quote]спиок рекомендованных смотрел, но там дата аж 2004г.?![/quote]
Некоторые вещи не меняются :wink:
07.01.2008, 22:58
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('smtpdrv');
SetServiceStart('smtpdrv', 4);
DeleteService('smtpdrv');
DeleteFile('E:\WINDOWS\Fil35.sys');
BC_DeleteFile('E:\WINDOWS\Fil35.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Повторите логи.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=dmitros;168577]P/S Какой trial антивирус посоветуете использовать...спиок рекомендованных смотрел, но там дата аж 2004г.?![/QUOTE]Список постоянно пересматривается, редактируется. Вам из платных или бесплатных? Платные это КАВ или Др. Веб однозначно. Бесплатные Авира или АВГ.
07.01.2008, 23:15
dmitros

Вложений: 3

Trojan Horse smtpdrv.sys+левый трафик

Вот логи!

Антивирус хотелось бы конечно бесплатный и действенный!!!
07.01.2008, 23:42
dmitros

Trojan Horse smtpdrv.sys+левый трафик

Сейчас проверил путём выхода в интернет и auto-protecta...до сего времени вирусов не обнаружено и трафик пришёл в норму!!!

ВОТ ОГРОМНОЕ СПАСИБО!!!

P/S Скажите по логам всё чисто?
07.01.2008, 23:50
Макcим

Чисто. Вы только рекомендацию насчет антивируса выполните, а то будете постоянным клиентом. :wink_3:

Что из этого нужно?[CODE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему[/CODE]
08.01.2008, 00:10
wise-wistful

Выолните в АВЗ

[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('E:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.[/CODE]

повторите лог virusinfo_syscure.zip
08.01.2008, 01:10
dmitros

Trojan Horse smtpdrv.sys+левый трафик

Это точно нужно:
Безопасность: разрешен автоматический вход в систему

Это не нужно:
Безопасность: к ПК разрешен доступ анонимного пользователя
Безопасность: разрешен автозапуск программ с CDROM

А по службам я ничего сказать не могу, знаний не хватает...

Рекомендации wise-wistful есть смысл выполнять???

Заранее благодарю!
08.01.2008, 01:38
dmitros

Вложений: 1

Вот последний лог

Что скажите???

С уважением!
08.01.2008, 01:46
wise-wistful

E:\WINDOWS\system32\DRIVERS\smtpdrv.sys - убит

По службам и прочему - компьютер в локальной сети или нет?
08.01.2008, 02:02
dmitros

По службам и прочему

Нет

P/S Спасибо за совет!
Бесплатные Авира или АВГ.

Извините, не подскажите конкретные названия рекомендованных антивирусников и где я могу их скачать. Интересуют бесплатные версии с возможностью скачивания обновлений баз вирусов.

Заранее благодарю
08.01.2008, 02:07
V_Bond

[url]http://www.free-av.com/[/url]
08.01.2008, 11:18
Макcим

[QUOTE=dmitros;168667]Нет

P/S Спасибо за совет!
Бесплатные Авира или АВГ.

Извините, не подскажите конкретные названия рекомендованных антивирусников и где я могу их скачать. Интересуют бесплатные версии с возможностью скачивания обновлений баз вирусов.

Заранее благодарю[/QUOTE]Оригинальное название Avira и AVG. Ссылка на Avira есть в теме "Рекомендуемые антивирусы", AVG посмотрите [URL="http://soft.softodrom.ru/ap/p2530.shtml"]здесь[/URL].
22.02.2009, 03:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\windows\\fil35.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.112)[*] e:\\windows\\system32\\config\\systemprofile\\local settings\\temporary internet files\\content.ie5\\uvo5832x\\5559[1].exe - [B]Trojan-Dropper.Win32.Small.bde[/B] (DrWEB: Trojan.MulDrop.6470)[*] e:\\windows\\system32\\drivers\\fil35.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.112)[*] e:\\windows\\system32\\le043.tmp.exe - [B]Backdoor.Win32.IRCBot.ayk[/B] (DrWEB: BackDoor.IRC.Cemka)[*] e:\\windows\\system32\\sysfldr.dll - [B]Backdoor.Win32.SdBot.cpr[/B] (DrWEB: BackDoor.Mahaon)[*] e:\\windows\\system32\\vhosts.exe - [B]Trojan-Downloader.Win32.Dirat.aw[/B] (DrWEB: Trojan.MulDrop.8347)[*] e:\\windows\\temp\\5559.exe - [B]Trojan-Dropper.Win32.Small.bde[/B] (DrWEB: Trojan.MulDrop.6470)[/LIST][/LIST]