При каждом старте Twister AntiVirus V7 обнаруживает заражённый smtpdrv.sys
При подключении флеш памяти вирус пишет на её setup.exe и autorun.inf
Прилагаю принтскрин обнаруженных заражений файлов
Заранее благодарен
Printable View
При каждом старте Twister AntiVirus V7 обнаруживает заражённый smtpdrv.sys
При подключении флеш памяти вирус пишет на её setup.exe и autorun.inf
Прилагаю принтскрин обнаруженных заражений файлов
Заранее благодарен
1.Не нужно держать 2 антивируса одновременно, удалите один из них.
2. Отключите наконец восстановление системы !
3. отключить временно антивирус(который останется) и интернет.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('smtpdrv');
SetServiceStart('smtpdrv', 4);
DeleteService('smtpdrv');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\System Volume Information\_restore{CB280443-4334-4FCF-ADD5-E46F989E442A}\RP241\A0031250.sys','');
QuarantineFile('C:\PROGRA~1\COMMON~1\FILSEC~1\filpp.sys','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\RACtrl.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\CONFLICT.1\RescueControl.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ANC.SYS','');
QuarantineFile('Rtl8e_udaliq.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Rtl8e_udaliq.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\SLEE503.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ovc64.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\IBMBLDID.sys','');
QuarantineFile('D:\Install\stickies\shook45.dll','');
QuarantineFile('C:\WINDOWS\system32\tsnp2std.exe','');
QuarantineFile('C:\WINDOWS\system32\tphklock.dll','');
QuarantineFile('C:\WINDOWS\system32\SLEE503.exe','');
QuarantineFile('C:\WINDOWS\system32\emfxp.dll','');
QuarantineFile('C:\Program Files\Steam\bin\vaudio_speex.dll','');
QuarantineFile('C:\Program Files\Steam\bin\mss32_s.dll','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17085[/url]
Всё сделал жду указаний, надеюсь обо мне незабыли :)
:> обо мне помоему забыли
ANC.sys1, emfxp.dll, filpp.sys, IBMBLDID.sys, mss32_s.dll, RACtrl.dll, RescueControl.dll, shook45.dll, SLEE503.exe_, SLEE503.sys, tphklock.dll, tsnp2std.exe_, vaudio_speex.dll
Вредоносный код в файлах не обнаружен...
сделайте новые логи ...
Прилагаю логи
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ovc64\0000', 'CSConfigFlags', '1');
StopService('smtpdrv');
SetServiceStart('smtpdrv', 4);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ovc64.sys','');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ovc64.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Ovc64');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ..
Карантин и логи
080130_050113_virus_47a058f9be573.zip
Все чисто. Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
[/code]
Посмотрите, что из этого вам нужно:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
Пофиксил теперь при старте smtpdrv.sys непоявляется, вечером попробую флешку подключить, о результате напишу.
Что отключить из Службы и Безопасность не особо знаю потому небудем рисковать.
[quote]вечером попробую флешку подключить[/quote]
Флэшка может быть заражена!
Подключайте, удерживая клавишу Shift, чтобы не сработал автозапуск.
В Проводнике включите показ скрытых и системных файлов.
Открывайте флэшку только по дереву в левой части окна Проводника.
Если найдете "чуждые" файлы, аккуратно удалите.
Я так и делал только без shift антивирус всегда стирал setup.exe оставался только autorun.inf
Можно использовать и [URL="http://virusinfo.info/showthread.php?t=16459"]этот метод[/URL]
p.s. наконец-то, сошли мозоли с пальца, которым я зажимал Shift;)
Флешку вставил, обычный авторан сработал и всё. Спасибо всем за помощь. :D
Twister AntiVirus V7 - что вот это за зверь? Первый раз встречается.
Нельзя ли ссылочку на сайт производителя.
Вроде хитрый зверёк
[URL]http://www.filseclab.com/[/URL]
Офф-топ: Из Китая. У них (бесплатный) файрвол неплохой если правильно настроить...
Paul
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]