Проблема c startdrv

**AndSun** · 10.11.2009, 15:11

Добрый день!
На компе бухгалтера обнаружилась скрытая рассылка спама,
антивир нашел startdrv который не смог удалить, плюс еще какой-то
троян он вроде удалился, после проверки антивиром сеть отрубилась и стало выскакивать сообщение о том, что некоторые системные файлы винды были заменены с предложением вставить дистрибутив виндовса (дистр всавил, но не помогло). Значок подключения сети горит, настройки сети не поменялись. Подключил винт к другому компу и удалил startdrv
тоже не помогло сеть не заработала, возможно даже startdrv восстановился заново, вобщем логи сформировал!
Помогите пожалуйста!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 10.11.2009, 16:00

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Системное восстановление.

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\RECYCLER\S-1-5-18\Dc4.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-18\Dc2.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-18\Dc1.exe','');
 QuarantineFile('C:\WINDOWS\system32\basewah32.dll','');
 QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\PROGRA~1\NETSUP~1\guihook.exe','');
 QuarantineFile('4DMSG.DLL','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteService('Secdrv');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','startdrv');
 DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
 DeleteFile('C:\RECYCLER\S-1-5-18\Dc1.exe');
 DeleteFile('C:\RECYCLER\S-1-5-18\Dc2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-18\Dc4.exe');
 DeleteFile('C:\WINDOWS\system32\basewah32.dll');
 BC_DeleteSvc('Secdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ загрузите по ссылке вверху темы.
Логи повторите.

**AndSun** · 10.11.2009, 17:21

Карантин выслал, логи прилагаю, сеть не заработала.
Во время выполнения первого стандартного скрипта под конец
опять винда запросила дистр. ХР

**миднайт** · 10.11.2009, 17:52

Системное восстановление отключите!!!

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Системное восстановление.

В HiJackThis пофиксите:

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','startdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Логи повторите.

**AndSun** · 10.11.2009, 18:58

Логи выслал, системное восстановление отключил, сеть не заработала

**миднайт** · 10.11.2009, 19:21

В AVZ выполните скрипт:

Код:

begin
ExecuteWizard('TSW',3,3,true);
end.

Запишите настройки сетевых подключений.
Скачайте утилиту http://www.veldhuizen.speedxs.nl/winsockxpfix.exe
попробуйте ее, после перезагрузки надо будет снова ввести настройки сетевого подключения.

Отпишитесь решена ли проблема.

**AndSun** · 10.11.2009, 20:12

После запуска утилиты комп перегружается, я ввожу настройки
сети и сеть начинает работать, но после презагрузки опять состояние
сети опять тоже что и было до применения утилиты, если всё повторить
то опять сеть работает до первой перезагрузки.

**thyrex** · 10.11.2009, 21:36

Такой лог подготовьте http://virusinfo.info/showpost.php?p=457118&postcount=1

**AndSun** · 10.11.2009, 22:50

Теперь только завтра смогу сформировать, т.к. ушел с работы

**AndSun** · 11.11.2009, 11:11

Добрый день!
Высылаю запрошенный выше лог.

**миднайт** · 11.11.2009, 12:17

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.

В MBAM удалите:

Код:

Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RUNTIME (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\runtime (Rootkit.Agent) -> No action taken.

Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\wsnpoem','');
 QuarantineFile('C:\WINDOWS\system32\0_exception.nls','');
 QuarantineFile('C:\WINDOWS\system32\basesqard32.dll','');
 QuarantineFile('C:\Documents and Settings\Nataly\~tmp1174.exe','');
 QuarantineFile('C:\TotalCmdPE\Programm\MyProxy\loader.exe','');
DeleteFile('C:\WINDOWS\system32\wsnpoem');
DeleteFile('C:\WINDOWS\system32\0_exception.nls');
DeleteFile('C:\WINDOWS\system32\basesqard32.dll');
DeleteFile('C:\Documents and Settings\Nataly\~tmp1174.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
end.

Файл quarantine2.zip из папки с AVZ загрузите по ссылке вверху темы.
Повторите лог mbam

**AndSun** · 11.11.2009, 14:08

Всё выполнил, карантин выслал, лог прилагается.

Проблема осталась:
>После запуска утилиты комп перегружается, я ввожу настройки
>сети и сеть начинает работать, но после презагрузки опять состояние
>сети опять тоже что и было до применения утилиты, если всё повторить
>то опять сеть работает до первой перезагрузки.

**миднайт** · 11.11.2009, 22:27

Удалите в MBAM

Код:

Заражено файлов:
C:\TotalCmdPE\Programm\MyProxy\loader.exe (Trojan.Downloader) -> No action taken.

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - обновите IE и поставьте 3 сервис пак на систему + последние обновления безопасности.
На время настройки сети попробуйте отключать защитные приложения.

**AndSun** · 16.11.2009, 12:39

Не помогло, всё тоже самое с сетью:
>После запуска утилиты комп перегружается, я ввожу настройки
>сети и сеть начинает работать, но после презагрузки опять состояние
>сети опять тоже что и было до применения утилиты, если всё повторить
>то опять сеть работает до первой перезагрузки.

Вобщем это уже не вирус наверное, какие-то библиотеки
подменены не содержащие вирус.
Вобщем видимо надо переустанавливать полностью винду.

**PavelA** · 16.11.2009, 16:57

Подождите чутка. Установите AVZPM, перезагрузитесь и сделайте логи после всех Ваших попыток лечения.
Лог Хиджака тоже будет нужен.

**AndSun** · 16.11.2009, 18:01

Надо-же, разобрался где собака порылась, оказывается касперский по умолчанию прописал на сетевое подключение ndis фильтр (встроенный фаервол отключил еще при установке антивира), т.е. если полностью отключить(выгрузить) касперского, этот фильтр всё равно активен, я зашел в свойства сетевого подключения и банально его удалил и всё сеть работает.

Так-что спасибо за помощь в лечении компа, всё работает!

**CyberHelper** · 17.11.2009, 18:01

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 40
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\nataly\~tmp1174.exe - Trojan-PSW.Win32.LdPinch.eqv ( DrWEB: Trojan.Inject.555, BitDefender: Trojan.PSW.LdPinch.AKX, AVAST4: Win32:Buzus-MQ [Trj] )
2. c:\recycler\s-1-5-18\dc1.exe - Trojan.Win32.Pakes.brq ( DrWEB: BackDoor.Bulknet.102, BitDefender: Trojan.Kobcka.BC, NOD32: Win32/Agent.NNN trojan, AVAST4: Win32:Agent-PCR [Trj] )
3. c:\recycler\s-1-5-18\dc2.exe - Trojan.Win32.Pakes.brq ( DrWEB: BackDoor.Bulknet.102, BitDefender: Trojan.Kobcka.BC, NOD32: Win32/Agent.NNN trojan, AVAST4: Win32:Agent-PCR [Trj] )
4. c:\recycler\s-1-5-18\dc4.exe - Trojan.Win32.Pakes.brq ( DrWEB: BackDoor.Bulknet.102, BitDefender: Trojan.Kobcka.BC, NOD32: Win32/Agent.NNN trojan, AVAST4: Win32:Agent-PCR [Trj] )
5. c:\windows\system32\basesqard32.dll - Trojan.Win32.Subsys.gen ( DrWEB: Trojan.Okuks.53, BitDefender: Trojan.Generic.832590, AVAST4: Win32:Malware-gen )
6. c:\windows\system32\basewah32.dll - Trojan.Win32.Subsys.gen ( DrWEB: Trojan.Okuks.49, BitDefender: Trojan.Generic.817405, AVAST4: Win32:Trojan-gen )
7. c:\windows\system32\drivers\ctl_w32.sys - Rootkit.Win32.Agent.pq ( DrWEB: Trojan.NtRootKit.496, BitDefender: Trojan.Kobcka.AY, NOD32: Win32/Rootkit.Agent.EY trojan, AVAST4: Win32:Neptunia-YS [Trj] )