проблемы с smtpdrv.sys

**_shpion_** · 11.01.2008, 14:38

Как обычно (смотрел темы). Аваст находит, в шедулере проверку локальных дисков на boot, делаешь reboot компа, находит, а он снова появляется.
+ зараженные/левые драйверы system32\drivers\xxx.sys

virusinfo_syscure.zip загрузить не удалось, при выполнении скрипта комп перезагружается

прошу помочь

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 11.01.2008, 14:48

выполните скрипт ...

Код:

begin
 StopService('smtpdrv');
 StopService('ctl_w32');
 StopService('Osw04');
 StopService('Bfj38');
 StopService('Uaij29');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Osw04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Bfj38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Uaij29.sys','');
 QuarantineFile('C:\WINDOWS\Bfj38.sys','');
 DeleteFile('C:\WINDOWS\Bfj38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Uaij29.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Bfj38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Osw04.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_ImportDeletedList;
 BC_DeleteSvc('smtpdrv');
 BC_DeleteSvc('ctl_w32');
 BC_DeleteSvc('Osw04');
 BC_DeleteSvc('Bfj38');
 BC_DeleteSvc('Uaij29');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

**_shpion_** · 11.01.2008, 16:56

все еще есть, но удалось сделать *cure.zip

**V_Bond** · 11.01.2008, 17:01

Код:

begin
 StopService('Osw04');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Osw04.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Osw04.sys');
 BC_DeleteSvc('Osw04');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

выполните скрипт ....
повторите логи ....

**rubin** · 11.01.2008, 17:10

virusinfo_cure.zip из поста уберите, залейте сюда
http://virusinfo.info/upload_virus.php?tid=16257

**_shpion_** · 11.01.2008, 17:40

2rubin
пишет, что у меня нет прав

**pig** · 11.01.2008, 17:47

Карантин:

Файл сохранён как 080111_084629_virusinfo_cure_478781454ccb5.zip
Размер файла 237028
MD5 f035f35c8a36931fdbaf3ee3e15056c1

**Bratez** · 11.01.2008, 17:48

Последний могиканин никак не уходит...
Давайте попробуем так:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Osw04');
 SetServiceStart('Osw04', 4);
 DeleteFile('C:\WINDOWS\system32\Drivers\Osw04.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Osw04');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и лог syscheck повторите.

**V_Bond** · 11.01.2008, 17:48

скачать ...
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\Drivers\Osw04.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
сделайте лог virusinfo_syscheck.zip

**_shpion_** · 11.01.2008, 19:40

2V_Bond
RU не справился

большое спасибо
отрубил сеть, загрузился с лайвСД, удалил C:\WINDOWS\system32\Drivers\Osw04.sys
перезагрузился, AVZ лечение + информация, Аваст
нету

большое СПАСИБО за помощь

**V_Bond** · 11.01.2008, 19:45

сейчас добьем ...
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('smtpdrv');
 StopService('Osw04');
 QuarantineFile('C:\WINDOWS\system32\jawsnt.dll','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Osw04.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Osw04');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

**_shpion_** · 11.01.2008, 21:12

вот:

Результат загрузки
Файл сохранён как 080111_121147_virusinfo_cure_4787b16334b86.zip
Размер файла 1496131
MD5 3187b32caf224b587b6d8e9bfbb3795a

**V_Bond** · 11.01.2008, 21:31

jawsnt.dll чистый ...
врагов добили .... какие-то проблемы остались ?

**_shpion_** · 12.01.2008, 16:54

Большое спасибо, проблем больше нет

Спустил на самотек, не следил за компом, по этому такая фигня и появилась

**CyberHelper** · 22.02.2009, 03:24

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 16
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\bfj38.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)
2. c:\\windows\\system32\\drivers\\bfj38.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)
3. c:\\windows\\system32\\drivers\\osw04.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204)
4. c:\\windows\\system32\\drivers\\uaij29.sys - Rootkit.Win32.Agent.px (DrWEB: Trojan.Sentinel)

проблемы с smtpdrv.sys (заявка № 16257)

Опции темы

проблемы с smtpdrv.sys

Итог лечения

Похожие темы

smtpdrv.sys

smtpdrv.sys

Всё о нём же - smtpdrv.sys

smtpdrv.sys

smtpdrv.sys

Ваши права в разделе