startdrv, runtime2

Printable View

20.08.2007, 17:09
dm_vasilich

Вложений: 3

startdrv, runtime2

Подхватил вот эту заразу, хотел попытаться ее выковырять самостоятельно, но решил вначале попытаться попросить вас о помощи.

маскировка процесса 1052 c:\program files\internet explorer\iexplore.exe
Маскировка процесса с PID=1944, имя = "rundll32.exe"
Маскировка процесса с PID=1604, имя = "userinit.exe"
Маскировка процесса с PID=1920, имя = "startdrv.exe"

кстати
O23 - Service: FXKPWTWJRK - Unknown owner - C:\WINDOWS\TEMP\FXKPWTWJRK.exe (file missing)
O23 - Service: GFDOM - Unknown owner - C:\WINDOWS\TEMP\GFDOM.exe (file missing)
это будто бы результат запуска RootkitRevealer, по крайней мере мне так показалось.
Буду чрезвычайно благодарен за помощь.
20.08.2007, 17:20
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrSvc('runtime2');
BC_QrSvc('runtime');
BC_QrSvc('Ip6Fw');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('runtime');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
20.08.2007, 19:01
dm_vasilich

Отправил карантин.
Даже в 2х вариантах потому как не понял обязательно ли архив должен быть запоролен.
теперь появились строки типа
Функция NtClose (19) перехвачена (805B0714->F359F5D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Жду дальнейших указаний.
20.08.2007, 20:35
RiC

[QUOTE=dm_vasilich;128669]Жду дальнейших указаний.[/QUOTE]
Повторите логи из правил, посмотрим что осталось.
20.08.2007, 21:20
dm_vasilich

Вложений: 3

Повторяю...
20.08.2007, 21:24
dm_vasilich

непосредственно перед этим касперский скушал:
20.08.2007 23:10:35 Файл C:\syswfsm.exe, обнаружено: вирус 'Email-Worm.Win32.Zhelatin.gz'. Пользователь: ELHAS\Dmitriy, компьютер:localhost.
20.08.2007 23:10:44 Файл C:\SYSWFSM.EXE удален.
20.08.2007 23:13:03 Файл c:\windows\system32\aspimgr.exe, обнаружено: троянская программа 'Backdoor.Win32.Agent.aju'.
20.08.2007 23:13:07 Объект автозапуска HKLM\System\ControlSet002\Services\aspimgr\aspimgr удален.
20.08.2007 23:13:07 Объект автозапуска HKLM\System\ControlSet003\Services\aspimgr\aspimgr удален.
20.08.2007 23:13:07 Файл c:\windows\system32\aspimgr.exe удален.
20.08.2007, 22:37
V_Bond

профиксите
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O23 - Service: FXKPWTWJRK - Unknown owner - C:\WINDOWS\TEMP\FXKPWTWJRK.exe (file missing)
O23 - Service: GFDOM - Unknown owner - C:\WINDOWS\TEMP\GFDOM.exe (file missing)
[/code]
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\FXKPWTWJRK.exe','');
QuarantineFile('C:\WINDOWS\TEMP\GFDOM.exe','')
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи....
21.08.2007, 05:55
dm_vasilich

Вложений: 3

Профиксил, выполнил, отсылаю...

Кстати посоветуйте как быть
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
пропала после всех приключений с вирусом
21.08.2007, 05:57
dm_vasilich

Отправил карантин.
Размер всех фалов в нем равен 0.
21.08.2007, 06:41
Muzzle

Файлов просто небыло,они были удалены до логов.
Теперь в логах всё чисто.
Советую работать за компьютером под пользователем с ограничеными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!
21.08.2007, 11:19
Bratez

[QUOTE]Кстати посоветуйте как быть
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
пропала после всех приключений с вирусом[/QUOTE]
Можно попробовать просто распаковать imapi.exe с дистрибутива, или запустить [B]sfc /scannow[/B] .
22.02.2009, 02:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ip6fw.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[*] \\systemroot\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: Trojan.NtRootKit.321)[/LIST][/LIST]