smtpdrv.sys - бесконечное убийство :(

[_random]

Прошу о помощи.
У нас в локалке распространена довольно удобная утилита, которая висит в трее, и позволяет быстро "включить\выключить интернет", посмотреть баланс, сменить тариф, заблокировать сегменты и т.п.
Всё было хорошо, стоял фаервол, потом поставил более новую версию, она мне не понравилась, снёс, поставил старую, но перестал работать пиринг, плюнул, снёс, включил встроенный в ХР фаервол, и забыл об этом. Прошло около месяца.
В один прекрасный день включил интернет, антивирус сразу поймал сперва WORM/Ntech.Z.4 в \Windows\Temp\<чегото>.tmp, затем Trojan TR/Pandex.L.2 в \Windows\system32\drivers\smtpdrv.sys. Всё удалил.
С тех пор что только не пробовал, ставил все антивирусы DrWeb, Касперыча 7-го, Nod32, всякие антируткиты и антиспаи... всё бестолку, находят, убивают, включаем инет, и всё повторяется... Spyware Doctor 5.5 говорит, что у меня:
Trojan.MailSpectre - aka - Email-Worm.Win32.Agent.I [Kaspersky]
Rootkit.Agent.EY
тоже предлагает грохнуть, грохаем, и всё по-новой.
Сейчас не пускает на www.google.ru -- в ответ пишет: " Приносим наши извинения... но в настоящий момент мы не можем рассмотреть Вашу заявку. Компьютерный вирус или шпионское ПО посылает нам автоматические заявки, и, возможно, Ваш компьютер или сеть были заражены."

В процессах ненормально много svchost.exe. Время от времени появляется iexplore.exe от эккаунта SYSTEM, но никуда вроде не ходит... сетевой активности не наблюдаю.

Видел несколько тем, где упоминался smtpdrv.sys, но с разными симтомами и разными скриптами для лечения. Затем увидел предостережение, не пользоваться чужими скриптами, если не шаришь... я как раз не могу сказать, что шарю, потому и обращаюсь.

Проделал инструкцию, логи прилагаю.
Надеюсь на помощь, спасибо...

Чуть не забыл: была винда со вторым сервис-паком, после того, как это началось (неделя прошла), один знакомый сисадмин посоветовал поставить пре-сп3, дескать, много дыр было заделано с тех пор, скачал самый последний, с мелкософтного сайта. Два дня как установлен, толку, понятно, нет.

[V_Bond]

выполните скрипт .....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Mrw40\0000', 'CSConfigFlags', '1');
 QuarantineFile('D:\WINDOWS\system32\drivers\ip6fw.sys','');
 QuarantineFile('D:\WINDOWS\system32\Drivers\Mrw40.sys','');
 QuarantineFile('D:\Program Files\SoftInform\AdsCleaner Professional\PAKIEPlugins.dll','');
 QuarantineFile('D:\PROGRA~1\SOFTIN~1\ADSCLE~1\PAKIEGUI.dll','');
 QuarantineFile('D:\PROGRA~1\SOFTIN~1\ADSCLE~1\SITTS.exe','');
 QuarantineFile('D:\WINDOWS\system32\SiPlugins.dll','');
 BC_DeleteFile('D:\WINDOWS\system32\Drivers\Mrw40.sys');
 BC_DeleteSvc('Mrw40');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[_random]

Эх, первое сканирование долго идёт, только системный раздел сканирует полчаса... это я ещё предварительно 7 гигов средств разработки и сдк снёс...

после первого скрипта:
1) антивирус больше никого не ловит, не визжит
2) перестал запускаться процесс iexplore.exe от имени SYSTEM

прилагаю новые файлы...
спасибо, друг

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) -- это я не знаю, что за хрень... щас пойду в сервисы посмотрю.
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) -- это я выключал давным давно
>> Безопасность: разрешен автозапуск программ с CDROM -- это я забил, авира поймает, если что.
>> Безопасность: к ПК разрешен доступ анонимного пользователя -- никогда не включал, в списке пользователей анонимусов не вижу...

[V_Bond]

выполните скрипт. ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('smtpdrv');
 SetServiceStart('smtpdrv', 4);
 QuarantineFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('D:\WINDOWS\System32\Drivers\Mrw40.sys','');
 DeleteFile('D:\WINDOWS\System32\Drivers\Mrw40.sys');
 DeleteFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
 BC_DeleteSvc('Mrw40');
 BC_DeleteSvc('smtpdrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ... начиная спункта 10 правил - без долгого

Добавлено через 3 минуты

AdsCleaner - имеет на борту адваре ....

[_random]

AdsCleaner - имеет на борту адваре ....

и как теперь быть, убить прогу? полечить ничем нельзя?

карантин залил, новые логи прилагаю
карантин может предварительно чистить? боюсь, что вместе со старым отправил...

>> Безопасность: к ПК разрешен доступ анонимного пользователя
подскажите плз, как с этим побороться?

нажал на линк в логе, создался скрипт:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
end.
-- я его выполнил, и, полагаю, мой последний вопрос снят

[V_Bond]

в логах чисто ....
если нет локалки ... то анонимного пользователя можно отключить...
AdsCleaner - если нужная вам программа ... и нет альтернативы .... то остается использовать ...

[_random]

Огромное спасибо!
Если не сильно влом, можете сказать, что это было, и как оно заползло? (Чтобы, в частности, постараться сделать так, чтобы это больше не повторилось?)

Пока поменял Авиру Классик, на Авиру Секьюрити Сьют (на сайте дают лицензию на 3 мес.).

Локалка, кстати, есть. И очень нужна...

[V_Bond]

была у вас одна из самых трудно удаляемых гадостей (Trojan TR/Pandex) ... антивирусами обычно не удаляется ...
если есть локалка без доступа анонимного пользователя ваша машина не будет видна в сети ....

[_random]

так а как оно обычно попадает на машину?
антивирус вроде один из лучших, как профукал?
или на сайте есть инфа, нужно только поискать?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения вредоносные программы в карантинах не обнаружены