-
Вложений: 3
smtpdrv.sys
Привет всем, вот и я подхватил эту дрянь.Весь день сегодня пытаюсь удалить этого червя всем антивирусным и антитрояновым софтом....
Антивирус использую Dr.Web 4.44
И так при заходе в иннет антивирус выдает что
C:\WINDOWS\TEMP\BN7.tmp - инфицирован Trojan.DownLoader.39204
C:\WINDOWS\system32\drivers\smtpdrv.sys - инфицирован Trojan.NtRootKit.360
Удаляем это все,но при перезаходе в иннет это все снова вылезает....
Ребят помогите,первый раз сам не смог избавиться.Пол иннета пролазил и на вашем форуме темы,сам в скриптах не очень шарю и чужие запускать не стал....
-
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('smtpdrv');
StopService('Vih55');
SetServiceStart('smtpdrv', 4);
SetServiceStart('Vih55', 4);
QuarantineFile('C:\WINDOWS\System32\drivers\win32.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Vih55.sys','');
QuarantineFile('C:\WINDOWS\system32\baseqhnjm32.dll','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Vih55.sys');
BC_DeleteSvc('Vih55');
BC_DeleteSvc('smtpdrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
-
Выполнил, вот карантин весь.regetdx - это фаил даунлод менеджера, не думаю что в нем дело, а вот остальные :blink:
p.s Блин не могу прикрепить..
Ваш файл занимает 889.2 Кбайт байт, что превышает предел на форуме в 488.3 Кбайт для этого типа файла.
-
карантин загружать по ссылке над темой ...
-
[quote=V_Bond;176791]карантин загружать по ссылке над темой ...[/quote]
Что-то и пока неизвестно куда загрузил :) Извините,я не внимателен сейчас, скажите а этот червь или вирус что именно делает? Надеюсь он пароли не отсылает куда ему нужно....
Ой забыл пароль поставить на архив.
-
C:\WINDOWS\System32\drivers\win32.exe - [b]Trojan.Win32.Delf.ash[/b]
C:\WINDOWS\system32\ntos.exe - новая модификация (в вирлаб)
C:\WINDOWS\system32\baseqhnjm32.dll - [b]Trojan.Win32.Agent.edu[/b]
-
подождите со скриптом не выполняйте ... .... из поста 6 сейчас подправим ...
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
для начала такой скрипт ....
[code]
function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
SF.Add('REGEDIT4'); SF.Add('');
SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
SSS := '"Windows"=hex(2):';
for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free; SF.Free;
End.
[/code]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
затем такой ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\drivers\win32.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...
-
Ребята вы мне тем скриптом убили систему!!!! Компьютер перезагрузился,когда должен уже появиться рабочий стол появляется [COLOR=red][B]экран смерти!!! [/B][COLOR=#000000][B]Stop c0000115[/B] и иероглифы!!Восстанвление,безопасный режим-всё тоже самое! Сейчас пишу от друга и пока нахожусь в шоке,незнаю как теперь восстанавливать все кошельки и данные если переустановлю винду....:embarasse[/COLOR][/COLOR]
Всё из-за того что был удален скриптом фаил baseqhnjm32.dll,на экране смерти четко виден только этот фаил....
-
есть возможность все исправить ... есть у вас возможность загрузится с СD ?
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\baseqhnjm32.dll - [B]Trojan.Win32.Agent.edu[/B] (DrWEB: Trojan.Okuks.based)[*] c:\\windows\\system32\\drivers\\win32.exe - [B]Trojan.Win32.Delf.ash[/B] (DrWEB: Trojan.DownGod)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.abd[/B] (DrWEB: Trojan.Proxy.2634)[/LIST][/LIST]
Page generated in 0.00771 seconds with 10 queries