smtpdrv.sys

Printable View

24.01.2008, 13:40
Denis79

smtpdrv.sys

При работе в Интернете через IE в какой-то момент вылетает ошибка с отчетом и дальнейшая работа в интернете невозможна. Проверил CureIt в безопасном режиме, нашел Trojan.Downloader.43001, BackDoor.Dld.1167, Troyan.PWS.LdPinch.1941 - все удалил. Выполнил все действия с AVZ и HijackThis. Логи приложил.
24.01.2008, 13:46
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
QuarantineFile('C:\WINDOWS\System32\APSHook.dll','');
BC_DeleteSvc('Mud32');
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
24.01.2008, 14:30
Denis79

Карантин загрузил. Логи повторил, приложил.
24.01.2008, 15:30
rubin

Пофиксьте:
[code]O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)[/code]

ProxyServer = 10.36.12.134:8080 - сами настраивали?
Больше плохого не видно...

PS: Troyan.PWS.LdPinch.1941 - надо менять пароли
24.01.2008, 15:37
Denis79

Да, сам настроил.
Профиксил. Спасибо за помощь.
24.01.2008, 15:53
Макcим

Далеко не убегайте, мы ещё не получили ответа из вир. лаба.
24.01.2008, 20:36
Denis79

Блин, обрадовали. Я уж думал все. :((
24.01.2008, 21:35
wise-wistful

Вирлаб ответил, что APSHook.dll - чистый. Какие-то проблемы остались?

Из этого списка что-либо используется

[quote]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/quote]
25.01.2008, 11:10
Denis79

Из этого списка что-либо используется[/quote]
Спасибо за помощь.
Я бы с большим удовольствием ограничил учетную запись пользователя, но т.к. ноутбук используется и в ЛВС и дома каждый раз необходимо менять настройки TCP/IP. Если можно оставить доступ к ним, а остальное ограничить было бы прекрасно. На ноутбуке установлена клиентская часть корпоративного Веба.
25.01.2008, 18:45
Макcим

Тогда лучше не будем трогать.

В логах всё нормально.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!