smtpdrv.sys

**NewWave** · 23.01.2008, 11:35

На ноутбуке вот такая же беда как тут уже писали с smtpdrv.sys Аваст при загрузке ругается на этот файл удаляет при перезагрузке снова он .....при этом идет большой исходящий трафик.......

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 23.01.2008, 11:41

Выполните скрипт в AVZ

Код:

begin
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Mtb31\0000', 'CSConfigFlags', '1');
 BC_DeleteSvc('Cjp85');
 BC_DeleteSvc('Mtb31');
 BC_DeleteFile('C:\WINDOWS\Cjp85.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Mtb31.sys');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

Повторите логи (virusinfo_syscure.zip тоже нужен!!!). Прикрепите также boot_clr.log из папки AVZ.

**NewWave** · 23.01.2008, 11:49

avz пишет failed to set data for "DisplayName" при попытке выполнить скрипт

**NewWave** · 23.01.2008, 12:30

Выполнил скрипт в безопасном режиме

**Bratez** · 23.01.2008, 12:42

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Ufx40');
StopService('Cjp85');
SetServiceStart('Ufx40',4);
SetServiceStart('Cjp85',4);
 QuarantineFile('C:\WINDOWS\system32\drivers\Ufx40.sys','');
 QuarantineFile('C:\WINDOWS\Cjp85.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Cjp85.sys','');
 DeleteFile('C:\WINDOWS\Cjp85.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Cjp85.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Ufx40.sys');
BC_ImportALL;
BC_DeleteSvc('Cjp85');
BC_DeleteSvc('Ufx40');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16852).
Сделайте новые логи.

**NewWave** · 23.01.2008, 13:06

скрипт смог выполнится опять тока в защищенном режиме(в обычном выдал ошибку "Ошибка в работе антируткита [Range check error] , шаг [11]" )........карантин выслал.

**Bratez** · 23.01.2008, 13:24

ОК, ждем новые логи.

**NewWave** · 23.01.2008, 13:28

сделал

**Bratez** · 23.01.2008, 13:54

Выполните следующий скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Ryf52');
StopService('smtpdrv');
SetServiceStart('Ryf52',4);
SetServiceStart('smtpdrv',4);
 QuarantineFile('C:\WINDOWS\system32\drivers\Ryf52.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\smtpdrv.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\Ryf52.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\smtpdrv.sys');
BC_ImportALL;
BC_DeleteSvc('Ryf52');
BC_DeleteSvc('smtpdrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин по правилам.
Сделайте еще раз новые логи.

Добавлено через 38 секунд

От души надеюсь, что это последняя итерация

**NewWave** · 23.01.2008, 14:46

Тоже на это надеюсь =) хотя странно конечно что приходится скрипты выполнять в защищенном режиме....

**Bratez** · 23.01.2008, 14:59

Нет, еще не все...
Следующий скрипт:

Код:

begin
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ryf52\0000', 'CSConfigFlags', '1');
 BC_DeleteSvc('Ryf52');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\Ryf52.sys');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

и прикрепите файл boot_clr.log из папки с AVZ.

**NewWave** · 23.01.2008, 15:42

Сделал

**Bratez** · 23.01.2008, 15:53

Вот зараза, нос вытащил - хвост увяз!

Выполните такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('smtpdrv');
SetServiceStart('smtpdrv',4);
DeleteFile('C:\WINDOWS\system32\drivers\smtpdrv.sys');
BC_ImportALL;
BC_DeleteSvc('smtpdrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и сделайте п.10 правил.
Неужто не убьется наконец?

**NewWave** · 23.01.2008, 16:21

хех

**Bratez** · 23.01.2008, 16:28

Поздравляю, мы победили!

Время было потрачено не зря.

Осталось отключить для профиклактики все ненужное из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Добавлено через 1 минуту

странно конечно что приходится скрипты выполнять в защищенном режиме....

Это скорее всего из-за Аутпоста, он конфликтует с антируткитом AVZ.

**CyberHelper** · 22.02.2009, 03:38

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\cjp85.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)
2. c:\\windows\\system32\\drivers\\cjp85.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)
3. c:\\windows\\system32\\drivers\\ufx40.sys - Rootkit.Win32.Agent.wf (DrWEB: Trojan.NtRootKit.527)

smtpdrv.sys (заявка № 16852)

Опции темы

smtpdrv.sys

Итог лечения

Похожие темы

smtpdrv.sys

smtpdrv.sys

Всё о нём же - smtpdrv.sys

smtpdrv.sys

smtpdrv.sys

Ваши права в разделе