Троян на ноуте и startdvr.exe

Printable View

18.07.2007, 14:38
Fox

Троян на ноуте и startdvr.exe

Ноут грузится минут 5
После проверки в SM Drweb обнаружил:
[LEFT][FONT=Arial][SIZE=2][SIZE=1]paging.sys[/SIZE][/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Trojan.Proxy.1942[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Удален.[/SIZE][/FONT]
[FONT=Arial][SIZE=1]startdrv.exe[/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\WINDOWS\Temp[/SIZE][/FONT]
[FONT=Arial][SIZE=1]BackDoor.Bulknet[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Удален.[/SIZE][/FONT]
[FONT=Arial][SIZE=1]outpost21pro.ini[/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\Program Files\DrWeb\infected.!!![/SIZE][/FONT]
[FONT=Arial][SIZE=1]Возможно, SCRIPT.Virus[/SIZE][/FONT][/LEFT]

[LEFT][FONT=Arial][SIZE=1]A0033824.dll[/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Trojan.Proxy.1942[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Удален.[/SIZE][/FONT]
[FONT=Arial][SIZE=1]A0049832.dll[/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Trojan.Proxy.1942[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Удален.[/SIZE][/FONT]
[FONT=Arial][SIZE=1]A0050826.dll[/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Trojan.Proxy.1942[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Удален.[/SIZE][/FONT]
[FONT=Arial][SIZE=1]A0053825.dll[/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Trojan.Proxy.1942[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Удален.[/SIZE][/FONT]
[FONT=Arial][SIZE=1]A0054826.dll[/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Trojan.Proxy.1942[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Удален.[/SIZE][/FONT]
[FONT=Arial][SIZE=1]A0056829.dll[/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Trojan.Proxy.1942[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Удален.[/SIZE][/FONT]
[FONT=Arial][SIZE=1]A0084255.dll[/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\System Volume Information\_restore{08F5E746-2DB0-400[/SIZE][/FONT]
[FONT=Arial][SIZE=1]6-AF3E-FFBAA5C7808A}\RP169[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Trojan.Proxy.1942[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Удален.[/SIZE][/FONT]
[FONT=Arial][SIZE=1]A0084389.sys[/SIZE][/FONT]
[FONT=Arial][SIZE=1]C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP170[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Trojan.Proxy.1942[/SIZE][/FONT]
[FONT=Arial][SIZE=1]Удален.[/SIZE][/FONT][/LEFT]

Ранее Drweb поместил в infected description.ini
spoolsvv.exe был удален в ручную.
Восстановление системы отключил.
при загрузке системы появляется предупреждение "Cannot initialize Drweb Interception Control(DRWSPCNT.DLL)
При попытке проверить AVZ-перезагрузка. При проверке в SM-перезагрузка...
Как ещё возможно создать логи?
Прикреплены доп.логи...
18.07.2007, 15:01
Rene-gad

[quote=Fox;123473]
При попытке проверить AVZ-перезагрузка. При проверке в SM-перезагрузка...[/quote]
Получаете при этом синеву? Что на ней написано?
18.07.2007, 15:06
Fox

Только успеваю

прочесть techical support:embarasse
18.07.2007, 15:35
Rene-gad

[quote=Fox;123477]прочесть techical support:embarasse[/quote]
мдя, немного... и никакой информации вида: STOP: 0x0????????????? ?
18.07.2007, 19:29
PavelA

Сделать полную проверку дисков при помощи Cure-It.

Профиксить для начала в HijackThis:

[CODE]O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\iazzgq.dll
O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Program Files\Common Files\winctl.dll (file missing)
[/CODE]
Это малая часть того, что надо вычистить.
Затем попробовать сделать доп. лог. Как сделано написано в разделе "Чаво"
Кстати, видны еще следы Касперского в виде отсутствующего файла.
25.07.2007, 23:13
Fox

[quote=PavelA;123543]Сделать полную проверку дисков при помощи Cure-It.

Профиксить для начала в HijackThis:

[code]O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\iazzgq.dll
O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Program Files\Common Files\winctl.dll (file missing)
[/code]
Это малая часть того, что надо вычистить.
Затем попробовать сделать доп. лог. Как сделано написано в разделе "Чаво"
Кстати, видны еще следы Касперского в виде отсутствующего файла.[/quote]
пофиксил. в SM не хочет грузиться. удалось только лог в Hijack сделать...

[quote=Rene-gad;123482]мдя, немного... и никакой информации вида: STOP: 0x0????????????? ?[/quote]
0x000000008 увидел вроде бы...
30.07.2007, 11:49
PavelA

[QUOTE='Fox;124787']в SM не хочет грузиться. удалось только лог в Hijack сделать[/QUOTE]
Прикрепи его сюда + сделай доп. лог (см. раздел "Чаво"). Надо будет бороться с лишними сервисами. Больше информации даст GetSystemInfo с сайта Касперского.

Не забудь отключить Восстановление системы и провериться "чистым" Cure-It, взятым с другого компьютера.
30.07.2007, 12:40
Макcим

Как получить дополнительный лог написано [URL="http://virusinfo.info/showthread.php?t=10387"]здесь[/URL].
02.08.2007, 15:25
Fox

Могу только лог от HiJack getsysifo прикрепить

В SM не удается сделать доп.логи- синий экран
02.08.2007, 15:29
Макcим

1. Переименуйте папку с AVZ в [U]123[/U], а файл avz.exe в [U]123.exe[/U].
2. После переименования попробуйте сделать ещё раз логи как обычно.
02.08.2007, 16:02
Fox

Переименовал, но

тоже самое. при выполнении скрипта №1
обнаружена маскировка процесса 11086 iexploer.exe
по-моему так...
02.08.2007, 16:09
Макcим

[B]Отключите восстановление системы![/B]

Пуск - Настройка - Панель управления - Администрирование - Службы. Ищите в списке [U]Microsoft ASPI Manager (aspimgr)[/U]. Щелкаете два раза ставите тип запуска на "[B]Отключено[/B]". Перезагружаете компьютер.

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Фиксите"[/URL] в HijackThis [CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
O22 - SharedTaskScheduler: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - (no file)
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)[/CODE]Перезагружаетесь ещё раз и пробуете запустить AVZ.
03.08.2007, 14:14
PavelA

[b]\??\C:\WINDOWS\System32\drivers\runtime.sys
\??\C:\WINDOWS\system32\windev-263e-27fc.sys[/b]
- вот это нам и мешает.
Вдобавок замусоренный файл Hosts - заблокированы антивирусы.

Думается лучшим выбором будет проверка CureIt с загрузкой с CD.
Надо скачать на другом РС CureIt, записать на CD. Затем загрузиться с загрузочного CD и запустить CureIt. Проверять диск ПОЛНОСТЬЮ, а не только экспресс-проверкой.