Заражен smtpdrv.sys

[profi]

Доброй ночи! Антивирус Аваст (со свежими вирусными базами) при загрузке компа выдает сообщение об обнаружении вируса: Win32: Agent-LNK[Wrm], заражен: C:\WINDOWS\SYSTEM32\DRIVERS\smtpdrv.sys. Вылечить его не удается, при удалении - при следующей загрузке выдается снова это же сообщение. К инету я подключаюсь через беспроводное соединение, так вот в последнее время у меня комп вообще не видит беспроводной адаптер, приходится каждый раз устанавливать заново драйвера. При работе в IE его окно постоянно теряет фокус - набрать текст в нем просто нереально. Надеюсь сможете мне помочь избавиться от этой заразы. Спасибо!

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Syf30.sys','');
 QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
 QuarantineFile('C:\WINDOWS\Syf30.sys','');
 QuarantineFile('C:\WINDOWS\System32\MSCORE.DLL','');
 QuarantineFile('c:\windows\system32\wmedia32.exe','');
 QuarantineFile('c:\windows\system32\svchost.exe','');
 DeleteFile('C:\WINDOWS\Syf30.sys');
 DeleteFile('C:\WINDOWS\system32\xpdx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Syf30.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите все содержимое карантина согласно приложению 3 правил.

[profi]

Блин, все полный абзац....
Вчера после того как создал тему на форуме запустил на ночь CureIT на полную проверку, утром посмотрел - он там много файлов подлечил. Аваст сообщение больше не выдает о вирусе. Затем отправил сюда файлы из карантина, выполнил скрипт. Решил что все ок и попробовал переустановить драйвер для беспроводного адаптера (ZyXel G-302, т.к. почему-то не работала утилита Zyxel, хотя раньше с ней было все ок, а драйвер и утилита устанавливаются вместе). Снес дрова, перезагрузился, комп нашел Новое оборудование - Ethernet-контроллер (хотя у меня в сетевых платах уже есть сетевая карта). Попробовал в качестве драйверов указать дрова для ZyXel - он не стал устанавливать. Установил утилиту и драйвера ZyXel, но нового устройства "Беспроводной адаптер Zyxel G-302" в диспетчере устройств не появилось. То есть все утановил, перезагрузился, а оборудование так и не появилось. Мне кажется тут чем-то мешает этот непонятно откуда появившийся "Ethernet-контроллер", из-за него не появляется Беспроводной адаптер ZyXel в диспетчере. Что делать? Вируса вроде нет, но инета теперь тоже! (Сижу с другого компа).

[Bratez]

Вчера после того как создал тему на форуме запустил на ночь CureIT на полную проверку, утром посмотрел - он там много файлов подлечил.

По идее это надо было сделать до создания логов и темы... Ну да ладно, сделайте теперь новый комплект логов, посмотрим, что получилось.

[profi]

Вот пожалуйста:

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
 QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
 QuarantineFile('C:\WINDOWS\System32\MSCORE.DLL','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

[profi]

скрипт выполнил, карантин отправил

[Bratez]

MSCORE.DLL - Trojan.Win32.Small.yd
svchost.exe - Trojan.Win32.Patched.bh

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\MSCORE.DLL');
 BC_DeleteFile('C:\WINDOWS\System32\MSCORE.DLL');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

svchost.exe можно вылечить с помощью KAV 7.0 либо заменить чистым из дистрибутива с помощью консоли восстановления или Live CD.

[profi]

Так, скрипт я сейчас выполняю, а потом остается только заменить либо вылечить svchost.exe? И инет будет работать?

[V_Bond]

100 % гарантии нет ... но весьма и весьма вероятно ...

[profi]

Все сделал, внешне изменилось: пропала панель быстрого запуска и на рабочем столе перемешались все ярлыки, но это все мелочи и вряд ли полезная информация, я все вернул на свои места.
С инетом ситуация не изменилась, переустановил дрова - ничего, все тоже самое. А потом случайно, когда лазил по этому Ethernet-контроллеру в диспетчере устройств, попробовал установить драйвера из списка и нашел в списке нужный (Zyxel). Так что теперь все ок, правда утилита по прежнему не пашет, ну и хрен с ней.
Огромное спасибо за помощь! Не подскажите что нужно сделать, чтобы такую заразу снова не подцепить? Какой антивирус лучше поставить?

[V_Bond]

рекомендуемые антивирусы
сделайте новый комплект логов .... для контроля

[profi]

Вот свежие логи....про антивирусы понял, надо покупать чего-то нормальное, хотя слышал, что Касперский очень систему грузит, а так общих советов по безопасной работе в сети никто не подскажет? (Например, слышал IE лучше не пользоваться, лучше любым другим браузером)

[V_Bond]

лучше по возможности не пользоваться Internet Explorer, использовать альтернативные браузеры, Firefox,Opera(с отключёнными скриптами)
прочитате электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[V_Bond]

удалите предыдущие ...