На ноутбуке вот такая же беда как тут уже писали с smtpdrv.sys Аваст при загрузке ругается на этот файл удаляет при перезагрузке снова он .....при этом идет большой исходящий трафик.......
На ноутбуке вот такая же беда как тут уже писали с smtpdrv.sys Аваст при загрузке ругается на этот файл удаляет при перезагрузке снова он .....при этом идет большой исходящий трафик.......
Выполните скрипт в AVZПовторите логи (virusinfo_syscure.zip тоже нужен!!!). Прикрепите также boot_clr.log из папки AVZ.Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Mtb31\0000', 'CSConfigFlags', '1'); BC_DeleteSvc('Cjp85'); BC_DeleteSvc('Mtb31'); BC_DeleteFile('C:\WINDOWS\Cjp85.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Mtb31.sys'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
avz пишет failed to set data for "DisplayName" при попытке выполнить скрипт
Выполнил скрипт в безопасном режиме
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Ufx40'); StopService('Cjp85'); SetServiceStart('Ufx40',4); SetServiceStart('Cjp85',4); QuarantineFile('C:\WINDOWS\system32\drivers\Ufx40.sys',''); QuarantineFile('C:\WINDOWS\Cjp85.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Cjp85.sys',''); DeleteFile('C:\WINDOWS\Cjp85.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Cjp85.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Ufx40.sys'); BC_ImportALL; BC_DeleteSvc('Cjp85'); BC_DeleteSvc('Ufx40'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16852).
Сделайте новые логи.
I am not young enough to know everything...
скрипт смог выполнится опять тока в защищенном режиме(в обычном выдал ошибку "Ошибка в работе антируткита [Range check error] , шаг [11]" )........карантин выслал.
ОК, ждем новые логи.
I am not young enough to know everything...
сделал
Выполните следующий скрипт:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Ryf52'); StopService('smtpdrv'); SetServiceStart('Ryf52',4); SetServiceStart('smtpdrv',4); QuarantineFile('C:\WINDOWS\system32\drivers\Ryf52.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\smtpdrv.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\Ryf52.sys'); DeleteFile('C:\WINDOWS\system32\drivers\smtpdrv.sys'); BC_ImportALL; BC_DeleteSvc('Ryf52'); BC_DeleteSvc('smtpdrv'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин по правилам.
Сделайте еще раз новые логи.
Добавлено через 38 секунд
От души надеюсь, что это последняя итерация
Последний раз редактировалось Bratez; 23.01.2008 в 13:54. Причина: Добавлено
I am not young enough to know everything...
Тоже на это надеюсь =) хотя странно конечно что приходится скрипты выполнять в защищенном режиме....
Нет, еще не все...
Следующий скрипт:
и прикрепите файл boot_clr.log из папки с AVZ.Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ryf52\0000', 'CSConfigFlags', '1'); BC_DeleteSvc('Ryf52'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Ryf52.sys'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Сделал
Вот зараза, нос вытащил - хвост увяз!
Выполните такой скрипт:
и сделайте п.10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('smtpdrv'); SetServiceStart('smtpdrv',4); DeleteFile('C:\WINDOWS\system32\drivers\smtpdrv.sys'); BC_ImportALL; BC_DeleteSvc('smtpdrv'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Неужто не убьется наконец?
I am not young enough to know everything...
хех
Поздравляю, мы победили!
Время было потрачено не зря.
Осталось отключить для профиклактики все ненужное из этого списка:
Добавлено через 1 минутуКод:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Это скорее всего из-за Аутпоста, он конфликтует с антируткитом AVZ.странно конечно что приходится скрипты выполнять в защищенном режиме....
Последний раз редактировалось Bratez; 23.01.2008 в 16:28. Причина: Добавлено
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\cjp85.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)
- c:\\windows\\system32\\drivers\\cjp85.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)
- c:\\windows\\system32\\drivers\\ufx40.sys - Rootkit.Win32.Agent.wf (DrWEB: Trojan.NtRootKit.527)
Уважаемый(ая) NewWave, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.