Показано с 1 по 10 из 10.

smtpdrv.sys - бесконечное убийство :( (заявка № 17127)

  1. #1
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    5
    Вес репутации
    39

    Question smtpdrv.sys - бесконечное убийство :(

    Прошу о помощи.
    У нас в локалке распространена довольно удобная утилита, которая висит в трее, и позволяет быстро "включить\выключить интернет", посмотреть баланс, сменить тариф, заблокировать сегменты и т.п.
    Всё было хорошо, стоял фаервол, потом поставил более новую версию, она мне не понравилась, снёс, поставил старую, но перестал работать пиринг, плюнул, снёс, включил встроенный в ХР фаервол, и забыл об этом. Прошло около месяца.
    В один прекрасный день включил интернет, антивирус сразу поймал сперва WORM/Ntech.Z.4 в \Windows\Temp\<чегото>.tmp, затем Trojan TR/Pandex.L.2 в \Windows\system32\drivers\smtpdrv.sys. Всё удалил.
    С тех пор что только не пробовал, ставил все антивирусы DrWeb, Касперыча 7-го, Nod32, всякие антируткиты и антиспаи... всё бестолку, находят, убивают, включаем инет, и всё повторяется... Spyware Doctor 5.5 говорит, что у меня:
    Trojan.MailSpectre - aka - Email-Worm.Win32.Agent.I [Kaspersky]
    Rootkit.Agent.EY
    тоже предлагает грохнуть, грохаем, и всё по-новой.
    Сейчас не пускает на www.google.ru -- в ответ пишет: " Приносим наши извинения... но в настоящий момент мы не можем рассмотреть Вашу заявку. Компьютерный вирус или шпионское ПО посылает нам автоматические заявки, и, возможно, Ваш компьютер или сеть были заражены."

    В процессах ненормально много svchost.exe. Время от времени появляется iexplore.exe от эккаунта SYSTEM, но никуда вроде не ходит... сетевой активности не наблюдаю.

    Видел несколько тем, где упоминался smtpdrv.sys, но с разными симтомами и разными скриптами для лечения. Затем увидел предостережение, не пользоваться чужими скриптами, если не шаришь... я как раз не могу сказать, что шарю, потому и обращаюсь.

    Проделал инструкцию, логи прилагаю.
    Надеюсь на помощь, спасибо...

    Чуть не забыл: была винда со вторым сервис-паком, после того, как это началось (неделя прошла), один знакомый сисадмин посоветовал поставить пре-сп3, дескать, много дыр было заделано с тех пор, скачал самый последний, с мелкософтного сайта. Два дня как установлен, толку, понятно, нет.
    Вложения Вложения
    Последний раз редактировалось _random; 28.01.2008 в 21:31. Причина: забыл добавить

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт .....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Mrw40\0000', 'CSConfigFlags', '1');
     QuarantineFile('D:\WINDOWS\system32\drivers\ip6fw.sys','');
     QuarantineFile('D:\WINDOWS\system32\Drivers\Mrw40.sys','');
     QuarantineFile('D:\Program Files\SoftInform\AdsCleaner Professional\PAKIEPlugins.dll','');
     QuarantineFile('D:\PROGRA~1\SOFTIN~1\ADSCLE~1\PAKIEGUI.dll','');
     QuarantineFile('D:\PROGRA~1\SOFTIN~1\ADSCLE~1\SITTS.exe','');
     QuarantineFile('D:\WINDOWS\system32\SiPlugins.dll','');
     BC_DeleteFile('D:\WINDOWS\system32\Drivers\Mrw40.sys');
     BC_DeleteSvc('Mrw40');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    5
    Вес репутации
    39
    Эх, первое сканирование долго идёт, только системный раздел сканирует полчаса... это я ещё предварительно 7 гигов средств разработки и сдк снёс...

    после первого скрипта:
    1) антивирус больше никого не ловит, не визжит
    2) перестал запускаться процесс iexplore.exe от имени SYSTEM

    прилагаю новые файлы...
    спасибо, друг

    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) -- это я не знаю, что за хрень... щас пойду в сервисы посмотрю.
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) -- это я выключал давным давно
    >> Безопасность: разрешен автозапуск программ с CDROM -- это я забил, авира поймает, если что.
    >> Безопасность: к ПК разрешен доступ анонимного пользователя -- никогда не включал, в списке пользователей анонимусов не вижу...
    Вложения Вложения
    Последний раз редактировалось _random; 28.01.2008 в 23:02. Причина: смотрю логи и удивляюсь...

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт. ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('smtpdrv');
     SetServiceStart('smtpdrv', 4);
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Mrw40.sys','');
     DeleteFile('D:\WINDOWS\System32\Drivers\Mrw40.sys');
     DeleteFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     BC_DeleteSvc('Mrw40');
     BC_DeleteSvc('smtpdrv');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ... начиная спункта 10 правил - без долгого

    Добавлено через 3 минуты

    AdsCleaner - имеет на борту адваре ....
    Последний раз редактировалось V_Bond; 28.01.2008 в 23:09. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    5
    Вес репутации
    39
    AdsCleaner - имеет на борту адваре ....
    и как теперь быть, убить прогу? полечить ничем нельзя?

    карантин залил, новые логи прилагаю
    карантин может предварительно чистить? боюсь, что вместе со старым отправил...

    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    подскажите плз, как с этим побороться?

    нажал на линк в логе, создался скрипт:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
    end.
    -- я его выполнил, и, полагаю, мой последний вопрос снят
    Вложения Вложения
    Последний раз редактировалось _random; 28.01.2008 в 23:38. Причина: провёл эксперимент

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    в логах чисто ....
    если нет локалки ... то анонимного пользователя можно отключить...
    AdsCleaner - если нужная вам программа ... и нет альтернативы .... то остается использовать ...

  8. #7
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    5
    Вес репутации
    39
    Огромное спасибо!
    Если не сильно влом, можете сказать, что это было, и как оно заползло? (Чтобы, в частности, постараться сделать так, чтобы это больше не повторилось?)

    Пока поменял Авиру Классик, на Авиру Секьюрити Сьют (на сайте дают лицензию на 3 мес.).

    Локалка, кстати, есть. И очень нужна...

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    была у вас одна из самых трудно удаляемых гадостей (Trojan TR/Pandex) ... антивирусами обычно не удаляется ...
    если есть локалка без доступа анонимного пользователя ваша машина не будет видна в сети ....

  10. #9
    Junior Member Репутация
    Регистрация
    28.01.2008
    Сообщений
    5
    Вес репутации
    39
    так а как оно обычно попадает на машину?
    антивирус вроде один из лучших, как профукал?
    или на сайте есть инфа, нужно только поискать?

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) _random, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Убийство вируса. НЕ РАБОТАЮТ ПРИЛОЖЕНИЯ
      От Антон25 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 14.01.2012, 07:16
    2. Убийство jodrive32.exe
      От WhiteSky в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.08.2011, 20:46
    3. Ответов: 2
      Последнее сообщение: 25.10.2010, 15:42
    4. Бесконечная история
      От Гриша в разделе Новости компьютерной безопасности
      Ответов: 15
      Последнее сообщение: 10.04.2009, 20:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01185 seconds with 17 queries