троян

[TimurT]

Какая то штуковина забивает кэш. Почтовые программы перестоют работать. проподает интернет, приходится комп перезагружать.
в папке system32 появляется файл mailspectre.exe
удалять его получается не прикаждом запуске компа, пока не запустится или через безопасный режим.

Воспользовавшись вашим антивирусником ношел в реестре записи связанные с mailspectre.exe после их удаления с инетом стало получше. Теперь комп перезагружать не надо достоточно переконнектится.
но почтовы проги не работают. Наверное блокирует порты почтовых служб. Как избавится от этой штуковины.

Помогите.

[drongo]

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\runtime.sys');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_QrFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\runtime.SYS');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteSvc('SNDSrvc');
 BC_Activate;
 RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12303
Сделать новые логи, как в первом вашем сообщении.

P.s. mailspectre.exe-добавить в карантин по пункту 2 правил.

[TimurT]

добавление файла mailspectre.exe в карантин выдало следующее сообщение.

Ошибка карантина файла, попытка прямого чтения (mailspectre.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\mailspectre.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\mailspectre.exe)
Карантин с использованием прямого чтения - ошибка

[Numb]

Последний карантин пришел пустой. В логах - только остатки от заразы. Очистите корзину, с помощью Hijackthis пофиксите строчку

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

На всякий случай, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\snmp.exe','');
BC_QrFile('C:\WINDOWS\System32\snmp.exe');
BC_Activate;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=12303 , как написано в прил.3 правил. Mailspectre.exe вы тоже не прислали, как просил drongo. Этот файл перестал появляться?

[drongo]

C:\WINDOWS\mailspectre.exe-если файл есть то запакуйте его в zip , обязательно с паролем virus и пришлите по ссылке в шапке.

[TimurT]

Mailspectre.exe находился в папке system32.
но после того как я с помошью AVZ нашел в реестре ее следы и удалил все она перестала появляться.

Добавлено через 9 минут

В начале подумал что Symantec барахлит. снес его. Корректно не получалось, пришлось как всегда бревном по металу. Оказалось бревно было крепкое а метал хрупким. Вроде все красиво убралось. Но теперь когда запускаещь ЕХе-шник какой нибудь выкидывает ошибку и ссылается на длл файл из не существующей папки symantec-а.
Что если я все записи реестра связанные с symantec в AVZ найденные удалю. Не будет ли полной остановки системы?

[SuperBrat]

Что если я все записи реестра связанные с symantec в AVZ найденные удалю. Не будет ли полной остановки системы?

Утилита для удаления остатков продукта от Symantec:
Norton Removal Tool
Попробуйте сначала ее. Скачайте свежую версию и запустите.

[TimurT]

поиск показал следующее.

Можно ли их удалить из реестра, без последствий?


Модуль для поиска данных в реестре, Зайцев О.В., 2004., http://z-oleg.com/secur
Запущен поиск ключей, содержащих образец "symantec"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{536604C 2-B82E-11D1-8252-00A0C95C0756}\ = Symantec AntiVirus UI
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LDVPUI.LDVPUIC trl.1\ = Symantec AntiVirus UI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus\ =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S NDSrvc\Description = Symantec Network Drivers Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\S NDSrvc\Description = Symantec Network Drivers Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SNDSrvc\Description = Symantec Network Drivers Service
-- Поиск в HKEY_CURRENT_USER --
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item14 = 27,27,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\LUINFO.INF"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item15 = 0,0,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\LUInit.exe"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item9 = 0,0,0,0,0,"$C:\Program Files\Symantec\SYMEVENT.CAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item10 = 33,32,0,0,0,"$C:\Program Files\Symantec\SYMEVENT.INF"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item11 = 0,0,0,0,0,"$C:\Program Files\Symantec\SYMEVENT.SYS"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item12 = 0,0,0,0,0,"$C:\Program Files\Symantec\S32EVNT1.DLL"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item13 = 0,0,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\ludirloc.dat"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item16 = 6,6,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\LUInit.ini"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item21 = 0,0,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\SymantecRootInstaller.lo g"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item17 = 0,0,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\LUINSDLL.DLL"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item18 = 0,0,0,0,0,"$C:\Program Files\Symantec\LiveUpdate\luproviderinst.jar"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item19 = 0,0,0,0,2,"$C:\Program Files\Symantec\LiveUpdate\LuResult.txt"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item20 = 291,32,0,0,2,"$C:\Program Files\Symantec\LiveUpdate\README.TXT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item6 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\TINF.DAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item7 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\VIRSCAN.INF"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item8 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\ZDONE.DAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item5 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\TCDEFS.DAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item4 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\SCRAUTH.DAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item3 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\NCSACERT.TXT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item2 = 0,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\HH"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item1 = 23,23,0,0,0,"$C:\Program Files\Symantec AntiVirus\Virus Defs\CATALOG.DAT"
HKEY_CURRENT_USER\Software\Far\Editor\LastPosition s\Item0 = 38,32,0,0,0,"$C:\Program Files\Symantec AntiVirus\SCANCFG.DAT"
HKEY_CURRENT_USER\Software\Far\Viewer\LastPosition s\Item62 = 24,0,0,0,0,"$C:\Program Files\Symantec AntiVirus\savrt.inf"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MenuOrder\Start Menu\Programs\Symantec Client Security\ =
-- Поиск в HKEY_CLASSES_ROOT --
HKEY_CLASSES_ROOT\CLSID\{536604C2-B82E-11D1-8252-00A0C95C0756}\ = Symantec AntiVirus UI
HKEY_CLASSES_ROOT\LDVPUI.LDVPUICtrl.1\ = Symantec AntiVirus UI
-- Поиск завершен --
Просмотрено ключей: 141985

[SuperBrat]

TimurT, не все ключи в реестре от Symantec содержат слово "symantec". Родная утилита производителя более предпочтительна.

[TimurT]

использовал родную утилиту.
Последние записи из реестра после работы с утилитой.
Ну так можно ли удалять оставшиеся записи?

[SuperBrat]

Попробуйте. Важных там нет, записи из редактора менеджера FAR в основном.

Добавлено через 12 минут

Но теперь когда запускаещь ЕХе-шник какой нибудь выкидывает ошибку и ссылается на длл файл из не существующей папки symantec-а.

AVZ: Файл - Восстановление системы - пункт 1.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены