Win32:Agent[LNK]

Здравствуйте. Только вчера узнал о существовании сайта и службы помощи virus.info.
У меня большая проблема. Один из друзей приходил ко мне домой, чтобы я записал ему информацию по институтским урокам. Он меня предупредил, что у него вирус на флэшке. Но, я согласился, так как подумал, что как всегда мой Avast или Ad-Aware SE с ним справятся.

Теперь жалею. Вирус каждый раз создается заново, как я понял при включении локальной сети, или даже при удалении при включенном интернете сразу после перезагрузки компьютера. При этом Avast находит его в: C/Windows/System32/smtpdrv.sys, и пишет, что это Win32 Agent[LNK]. Я нажимаю отправить в хранилище или т.п. В фоновом режиме (до запуска Windows) ни RegRun, ни Avast не могут его уничтожить, они его находят, но пишут, что путь C:/Windows/System32/smtpdrv.sys doesn`t exists - не существует.

Самое главное в том, что при обнаружении этого вируса появляется окно NT SYSTEM\AUTHORITY. Только после удалении вируса окошко не появляется. Таким образом я могу выслать вам логи (о AVZ я уже прочитал и скачал), но этого вируса уже не будет видно. Может все равно сделать эти логи, хоть я его якобы и удалил вирус? И скажите, знаете ли вы, можно ли "NT SYSTEM\AUTHORITY" отключить из системы Windows? Мне один друг сказал, что он как-то отключал это окошко из Windows.

Я сегодня скачал и установил COMODO Firewall Pro вместо стандартного Брандмауэра Windows. Все патчи и заплатки приводимые на этом сайте в аналогичных темах я поставил. У меня Windows XP SP2. (Лицензия SP1 давно обновленная через Microsoft до SP2, автоматическое обновление включено.)

Сейчас из антивирусов стоит avast! + RegRun + очень много разных антитроянов: От Ad-Aware SE до Windows Defender и FixBlast.

Заранее благодарен. Посоветуйте пожалйста, как мне быть. С такой проблемой за всю историю вирусов сталкиваюсь впервые, до этого любой вирус удалялся/лечился. Сейчас как раз начало дипломного проекта, чертежи надо чертить в "Компасе", и тут такая беда.

P.S. Логи я вложил, при этом avast! и COMODO были выключены, подключение к интернету и браузер Opera был включен. (Так ли надо было делать, ведь опасно оставлять включенной локальную сеть без защиты?). Окно NT AUTHORITY\SYSTEM не появлялось. Единственное, что я не нажал "запретить восстановление системы". Посмотрите пожалуйста пока что это. Очень поздно, я намучился, если надо, завтра повторю логи с отключенным восстановлением системы на всех дисках. Я хотя бы понял, как их надо делать.

[quote]avast! и COMODO были выключены, подключение к интернету и браузер Opera был включен. (Так ли надо было делать, ведь опасно оставлять включенной локальную сеть без защиты?). [/quote]
Конечно опасно! Интернет и локальную сеть следовало отключить. Вместо Оперы при создании логов лучше запустить IE, если конечно он у вас есть.

План действий:

1. Отключите восстановление системы.

2. Пофиксите в HijackThis:
[code]
O22 - SharedTaskScheduler: flammei - {9d635a36-6b3c-4146-8625-f3aaf507bbf8} - (no file)
[/code]
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Tdu25');
SetServiceStart('Tdu25', 4);
StopService('Fba45');
SetServiceStart('Fba45', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\Partizan.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fba45.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Tdu25.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Tdu25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fba45.sys');
BC_ImportALL;
BC_QrSvc('Dptiansenta');
BC_QrSvc('smtpdrv');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Tdu25');
BC_DeleteSvc('Fba45');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

4. Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16766[/url]).

5. Сделайте новые логи.

Спасибо, что откликнулись на помощь! Сейчас сумел загрузить Windows только с 4 раза - появлялось окно NT AUTHORITY\SYSTEM. (Запуск серверов DCOM). Сейчас все сделаю по вашим указаниям. Перед пунктом 1."Отключение восстановления системы" я опять отключу антивирус, файерволл, и теперь уже локальную сеть, включу Internet Explorer.


Выполнил. Карантин выслан.
Во время лога лечния/сбора информации было вот что:
3.Сканирование дисков
C:\Fraps\fraps.exe – подозрение на Backdoor.Win32.Rbot.bwa (файл успешно помещен в карантин)
С:\Windows\system32\drivers\smtpdrv.sys – Email-Worm.Win32.Agent.I (успешно помещен в карантин, успешно удален)

Я думаю, может мне тогда удалить fraps - программу для создания скриншотов в играх? Или не стоит? Так как в прошлом логе AVZ ее тоже находил, как и мой проблемный smtpdrv.sys.

Вот логи.

Восстановление системы оставил отключенным.

Теперь у вас чисто.
Для порядка можно пофиксить в HijackThis
[code]O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)[/code]
и отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 51 секунду[/I][/B][/color][/size]

P.S. Fraps ни в чем не виноват, это ложное подозрение.

Привет! Три раза тьфу, пока все гладко, ни окошка NT AUTHORITY\SYSTEM, ни нахождения avast!`ом smtpdrv.sys. Спасибо огромное. Можете поподробнее рассказать о "разрешении потенциально опасных служб", что это такое, и надо ли их отключать? По поводу fraps.exe также спасибо. Как мне быть - включить или нет восстановление системы?

Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]
(Автозапуск CD оставил. Если есть локалка с общим доступом к файлам и принтерам, то уберите из скрипта первую строчку после begin).

Спасибо. Как я понял это скрипт AVZ. Да, у меня как раз локальная сеть. (я к ней подключен). Значит первый пункт убираю. И что делать с восстановлением системы, оставить ее отключенной?

Можно включить обратно. А можно и не включать.

[QUOTE=Bratez;176489]Можно включить обратно. А можно и не включать.[/QUOTE]

Ясно. Просто даже боязно включать. :) Спасибо вам большое за помощь! Можно ли оставить тему не закрытой, вдруг на крайний случай опять что-либо проявится, или лучше потом начинать просить о помощи заново?

[quote]Можно ли оставить тему не закрытой, вдруг на крайний случай опять что-либо проявится, или лучше потом начинать просить о помощи заново?[/quote]
Если этот компьютер - можно писать сюда, если другой - в новую тему.

Ясно. Еще раз спасибо! :candy: :druzja: :type_2:

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\bcqr00006.dta - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.134)[*] \\bcqr00007.dta - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.134)[/LIST][/LIST]