DrWeb не может удалить startdrv.exe

Printable View

10.07.2007, 15:01
hKarel

Вложений: 3

DrWeb не может удалить startdrv.exe

При проверке DrWeb-ом обнаружились зараженные файлы:
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\Temp\startdrv.exe

Файл ip6fw.sys мне удалось заменить здоровым из папки dllcache, DrWeb перестал на него ругаться. Проблема с этим файлом решикась, как мне кажется.

Для файла runtime2.sys в "Безопасности" для всех пользователей я снял все разрешения и выставил все запреты. После перезагрузки файл удалось удалить.

Файл startdrv.exe - удаляется без проблем, но после перезагрузки восстанавливается. На данный момент я снял с него все разрешения и выставил все запреты. Но к сожалению, не могу судить насколько это окажется действенно для вируса.

Перед выполнением всех манипуляций с файлами восстановление системы было отключено.

Так же обнаружил, что реестре самовосстанавливаются после перезагрузки следующие ветки (это происходить уже после того как файл runtime2.sys был удален):
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\runtime2]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\runtime2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runtime2]

А вот эти ветки система не дает удалять, говорит: "Ошибка удаления раздела"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RUNTIME2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNTIME2]
10.07.2007, 15:07
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]Потом ещё один [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winwea32.dll','');
RebootWindows(false);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
10.07.2007, 16:28
hKarel

Вложений: 3

Файлы карантина выслал.
Ниже - логи.
10.07.2007, 17:26
AndreyKa

Выполните скрипт:
[code]
begin
SetAVZGuardStatus(True);
DelCLSID('91BA5991-C1CA-4B93-BE2F-2F95BF0E2702');
DelCLSID('A416D604-EAA3-4618-958C-2ECA22414616');
DelCLSID('0E1230F8-EA50-42A9-983C-D22ABC2EED3B');
DelCLSID('4B5A7560-16C6-4063-86D3-000000000003');
DeleteFile('C:\WINDOWS\system32\winwea32.dll');
SysCleanAddFile('winwea32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
11.07.2007, 11:22
hKarel

Систему проверил DrWeb-ом - вирусов обнаружено не было.
Единственно хотел отметить, что при выполнения двух последних скриптов в начале процесса перезагрузки - система висла намертво, помогал только reset. Так должно быть ? В дальнейшем, при повторных перезагрузках, ни каких проблем не наблюдалось.
В любом случае, всем кто мне помогал, хочу сказать большое спасибо! Было приятно иметь с вами дело :)

P.S. У меня в методах оповещения было выставлено "Моментальное уведомление на email" - однако ни одного уведомления на мой майл так и не пришло.
11.07.2007, 11:30
Muzzle

повторите логи для контроля.
11.07.2007, 15:50
hKarel

Вложений: 3

Держите
11.07.2007, 16:07
Макcим

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - (no file)
O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - (no file)[/CODE]Проблема решена?
11.07.2007, 17:19
hKarel

Пофиксил
[QUOTE]
Проблема решена?
[/QUOTE]
Если Вы о всплывающих окнах в IE, то мне трудно сказать решена ли проблема. Я не пользуюсь IE, использую Оперу.
11.07.2007, 17:21
Макcим

Я имею ввиду первоначальную проблему, которая Вас заставила обратиться на форум.
11.07.2007, 17:29
hKarel

На данный момент первоначальная проблема решена, DrWeb говорит, что "все чисто". Еще раз всем спасибо, тему считаю закрытой.
11.07.2007, 17:39
Макcим

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
11.07.2007, 19:27
hKarel

Файлик закачал (070711_191951_virusinfo_files_KARELIN-CMP_4694f51706c0e.zip)
22.02.2009, 02:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winwea32.dll - [B]Trojan.Win32.Agent.qt[/B] (DrWEB: Trojan.Mezzia)[*] c:\\windows\\temp\\startdrv.exe - [B]Trojan-Downloader.Win32.Diehard.bi[/B] (DrWEB: BackDoor.Bulknet)[*] \\startdrv.exe - [B]Trojan-Downloader.Win32.Agent.fke[/B] (DrWEB: Trojan.Packed.230)[/LIST][/LIST]