smtpdrv.sys с друзьями зашли на огонек.

Printable View

23.01.2008, 14:05
Help4Meal

Вложений: 3

smtpdrv.sys с друзьями зашли на огонек.

Ситуация такая, есть пользователь, у пользователя Windows XP SP2 Rus.

С почтовым вложением на компьютер попали всякие разные животные. Среди них smtpdrv.sys.

CureIT ругается и говорит, что поселились Bach Door.Buknet.112 и Trojan.Nt RootKit.360.

AVZ ругается:
[CODE]При проверке IDT и SYSENTER написал: Опасно подозрение на подмену адреса ЦП 1 и IDT 06=F406A16D C:/WINDOWS\system32\drivers\Haspnt.sys-драйвер опознан как безопасный, при сканировании дисков обнаружил и удалил вирус C:\Documents and Settings\Tatyana\Local Settings|Temp\Rar$EX00.719\Change Your WindowsXP.Key.exe/RAR-SFX officekey.exe[/CODE]

NOD32 ни на кого не ругается.

Кроме того появляется NT AUTHORITY\SYSTEM Служба запуск серверных процессов DCOM и через 40сек компьютер отключается. Если не подключаться к интернету вирусы себя не проявляют.

Прошу помочь разобраться со злостными вредителями.
23.01.2008, 14:22
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Rxe30\0000', 'CSConfigFlags', '1');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Vdj30\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Rxe30');
BC_DeleteSvc('Vdj30');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Rxe30.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Vdj30.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]Повторите логи. Прикрепите также boot_clr.log из папки AVZ.
24.01.2008, 11:31
Help4Meal

Вложений: 4

[B]Maxim[/B], пожалуйста.
24.01.2008, 11:46
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\v124nt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tonesnt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\spkpnt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\faxnt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\rksample.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\k56nt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\fsksnt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\fallback.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\basic2.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_ImportALL;
BC_DeleteSvc('smtpdrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file)[/CODE]
Загрузите карантин согласно приложению №3 правил. Повторите лог virusinfo_syscheck.zip.