smtpdrv.sys

Nod32 сообщает о заражении файлов smtpdrv.sys и ip6fv.sys.
Червь Win32/Agent.NBT и "вероятно модифицированный Win32/Rootkit.AgentDP - троян". Находит, удаляет smtpdrv.sys, после перезагрузки файл создаётся заново. При этом блокируется доступ в интернет.

отключите антивирус
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('smtpdrv');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
StopService('Qao71');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qao71.sys','');
StopService('Fdr70');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fdr70.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Fdr70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qao71.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Qao71');
BC_DeleteSvc('Fdr70');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ....

Скрипт выполнил.
Карантин прислать не могу, он пустой - ни одного файла в окне "Просмотр карантина" нет (либо я что-то не то делаю).
Логи повторяю.
Проблема с доступом в инет решилась, файл smtpdrv.sys отсутствует и не пересоздаётся. Nod32 молчит.
Все ли чисто в системе?

в логах нет ничего зловредного ....
что из этого не используется ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Ничего не нужно, ПК домашний, не в локалке, сетевые вещи не нужны.
Спасибо за помощь.

выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]