Junior Member
Вес репутации
60
проблемы с smtpdrv.sys
Как обычно (смотрел темы). Аваст находит, в шедулере проверку локальных дисков на boot, делаешь reboot компа, находит, а он снова появляется.
+ зараженные/левые драйверы system32\drivers\xxx.sys
virusinfo_syscure.zip загрузить не удалось, при выполнении скрипта комп перезагружается
прошу помочь
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
StopService('smtpdrv');
StopService('ctl_w32');
StopService('Osw04');
StopService('Bfj38');
StopService('Uaij29');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Osw04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bfj38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uaij29.sys','');
QuarantineFile('C:\WINDOWS\Bfj38.sys','');
DeleteFile('C:\WINDOWS\Bfj38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uaij29.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bfj38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Osw04.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('ctl_w32');
BC_DeleteSvc('Osw04');
BC_DeleteSvc('Bfj38');
BC_DeleteSvc('Uaij29');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
60
все еще есть, но удалось сделать *cure.zip
Вложения
Последний раз редактировалось pig; 11.01.2008 в 17:45 .
Причина: убрал карантин
Код:
begin
StopService('Osw04');
QuarantineFile('C:\WINDOWS\system32\Drivers\Osw04.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Osw04.sys');
BC_DeleteSvc('Osw04');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
выполните скрипт ....
повторите логи ....
virusinfo_cure.zip из поста уберите, залейте сюда
http://virusinfo.info/upload_virus.php?tid=16257
Junior Member
Вес репутации
60
2rubin
пишет, что у меня нет прав
Вложения
Карантин:
Файл сохранён как 080111_084629_virusinfo_cure_478781454ccb5.zip
Размер файла 237028
MD5 f035f35c8a36931fdbaf3ee3e15056c1
Последний могиканин никак не уходит...
Давайте попробуем так:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Osw04');
SetServiceStart('Osw04', 4);
DeleteFile('C:\WINDOWS\system32\Drivers\Osw04.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Osw04');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и лог syscheck повторите.
I am not young enough to know everything...
скачать ...
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\Drivers\Osw04.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
сделайте лог virusinfo_syscheck.zip
Junior Member
Вес репутации
60
сейчас добьем ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('smtpdrv');
StopService('Osw04');
QuarantineFile('C:\WINDOWS\system32\jawsnt.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\Osw04.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Osw04');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Junior Member
Вес репутации
60
вот:
Результат загрузки
Файл сохранён как 080111_121147_virusinfo_cure_4787b16334b86.zip
Размер файла 1496131
MD5 3187b32caf224b587b6d8e9bfbb3795a
Вложения
jawsnt.dll чистый ...
врагов добили .... какие-то проблемы остались ?
Junior Member
Вес репутации
60
Большое спасибо, проблем больше нет
Спустил на самотек, не следил за компом, по этому такая фигня и появилась
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 16 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\bfj38.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112) c:\\windows\\system32\\drivers\\bfj38.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112) c:\\windows\\system32\\drivers\\osw04.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204) c:\\windows\\system32\\drivers\\uaij29.sys - Rootkit.Win32.Agent.px (DrWEB: Trojan.Sentinel)