Trojan Downloader, одна из разнвидностей

Сканировал доктором вебом, одновления сегодняшние. Нашел файл зараженный этим вирем в c:\windows\temp файл вида bn25.tmp Вылечить его не смог, предложил только удалить, что я и сделал.
AVZ ничего не нашел.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Bgl27', 'Start');
RebootWindows(true);
end.[/code]
Затем еще один:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Bgl27');
SetServiceStart('Bgl27', 4);
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Bgl27.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Bgl27.sys');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\Documents and Settings\Popov-vi\Local Settings\Temp\catchme.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16560[/url]).
Сделайте новые логи.

поблема сохранилась. При загрузке системы докторвеб находит подобный файлик и лечит его...

Нужен лог syscheck (п.10 правил).

вот

Не поддается...
Выполните такой скрипт:
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Bgl27\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Bgl27.sys');
BC_DeleteSvc('Bgl27');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Bgl27.sys');
BC_DeleteSvc('smtpdrv');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки прикрепите файл [b]boot_clr.log[/b] из папки с AVZ и повторите лог syscheck.

готово, но файла [B]boot_clr.log[/B] в папке нет.. и вообще в системе не обнаружен :(

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

[SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\smtpdrv.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\smtpdrv.sys)
Карантин с использованием прямого чтения - ошибка
[/COLOR][/SIZE]
не дает запустить AVZPM

Все же откройте просмотр карантина, там в самом деле пусто?

да он то в принципе и не нужен .... пробуйте так ... (скрипт подправил)

он выдает это сообщение и все... в карантине три файла с расширением .bak .. этот карантин я скидывал в начале..

пришлите посмотрим что в ini написано ...

ушло

вообще вы что -то не то прислали ...

это все, что есть в карантине... а эти два файла, по скрипту не добавляются в карантин... авз выдает ошибку... указанную выше

Попробуйте так:
[code]
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_QrFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.[/code]

при выполнении скрипта ничего не происходит. После перезагрузки карантин все так же пуст :(

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

файл Ip6Fw.sys сейчас располагается в c:\windows\system32\dllcache
smtpdrv.sys - удален, на разделе с: не обнаруживается, либо хитро запрятан

c:\windows\system32\dllcache\Ip6Fw.sys на всякий случай пришлите, хотя он вряд ли плохой. smtpdrv.sys должен был удалиться последним скриптом. Сделайте еще раз лог syscheck, наверно на этом дело будет окончено.

готово!