файл startdrv.exe

Printable View

17.11.2007, 14:16
Анфиса

Вложений: 2

файл startdrv.exe

в папке c:\windows\temp лежит зараженный файл startdrv.exe, удаляется антивирусными программами, но после перезагрузки восстанавливается вновь, сильно тормозит интернет.
Пыталась создать логи по описанию в правилах, второй скрипт в avz не выполняется, система напрочь зависает.
17.11.2007, 14:23
Bratez

Выполните скрипт в AVZ:
[code]
begin
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Повторите логи.
19.11.2007, 15:57
Анфиса

Вложений: 3

Выполнила скрипт, но карантин оказался пуст, зато на этот раз выполнились все скрипты по сбору логов
19.11.2007, 16:10
Bratez

Все чисто, осталось пофиксить в HijackThis:
[code]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0) -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Выполните скрипт в AVZ:
[code]
begin
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Посмотрите что вам нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
[/code]
Лишнее отключим.
19.11.2007, 16:45
Анфиса

Выполнено :)

Нужно только это:
>> Безопасность: разрешен автоматический вход в систему

Сомневаюсь по поводу:
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Первое думаю можно отключить, а вот что означает второе?
19.11.2007, 16:52
Bratez

административный доступ к локальным дискам (C$, D$ ...) - значит, что некто знающий ваш пароль Администратора может иметь полный доступ к вашим дискам по локалке. Автозапуск CD вещь удобная и не очень уж опасная, можно и оставить.
Вот скрипт для отключения ненужного:
[code]
begin
[COLOR=red]RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);[/COLOR]
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]
Если у вас локальная сеть с использованием общего доступа к файлам и принтерам, красную строчку уберите.
19.11.2007, 17:09
AndreyKa

Анфиса, у вас какая версия DrWeb? Если 4.33, то скачайте новую версию 4.44 с сайта [url]http://download.drweb.com/win[/url] и установите.
20.11.2007, 16:18
Анфиса

УРА! Вирусов больше нет :) всем спасибо!!!