Trojan.NtRootKit.319 в файле c:\windows\system32\drivers\secdrv.sys

[TkachukA]

Начались подозрения на вирус/троян. Попытался полечить сначала свежим cureit.exe. Просто переименовал найденные 2 вируса. Не помогло. Internet Explorer перестал грузить страницы.

После этого нашел этот сайт и аккуратно выполнил все инструкции по шагам.

Загрузку Страниц IE зафиксил с помощью WinsockFix.exe

Теперь при запуске cureit.exe все равно находится Trojan.NtRootKit.319 в файле c:\windows\system32\drivers\secdrv.sys

Помогите корректно избавиться от всех остатков вирусов.
Могу ли я просто переписать файл c:\windows\system32\drivers\secdrv.sys с другого чистого компьютера на котором тоже XP?

Andrey

P.S. RemoteAdmin удалять не нужно. Я его использую:
C:\WINDOWS\System32\r_server.exe

[Kuzz]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Мама\Local Settings\Temp\ieupdate.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 QuarantineFile('\??\C:\WINDOWS\System32\ANIO.SYS','');
 QuarantineFile('\SystemRoot\System32\DRIVERS\secdrv.sys','');
 QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
 QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys','');
 DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
 DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
 DeleteFile('\SystemRoot\System32\DRIVERS\secdrv.sys');
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 AutoFixSPI;
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

Добавлено через 3 минуты

Корень проблемы:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

В логах точно заметны эксплоиты для необновленногого IE, видимо через него произошло заражение.

[TkachukA]

Для загрузки файла воспользовалcя этим сервисом, т.к. по инструкции выдает ошибку закачки


После лечения обновлю OS SP2 и IE

[Kuzz]

Вредоносов скриптом должно было убить.
Повторите логи пожалуйста.

[TkachukA]

логи скоро будут....
Скажете по получении насколько это было опасно?
Украденные пароли? Разрушение файлов?

Вот на что ругался cureit после первого запуска:

c:\windows\system32\drivers\secdrv.sys infected with Trojan.NtRootKit.319 - user denied cure
c:\windows\system32\y1.dll infected with Trojan.Sespy - user denied cure
C:\1.tmp infected with Trojan.Proxy.2003 - deleted

[TkachukA]

похоже, что то еще нечисто....

[Bratez]

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Удалите карантин ДрВеба - папка
C:\Documents and Settings\dron.GALAXY-HOME\DoctorWeb

Сделайте еще раз логи.

[TkachukA]

Логи. Похоже ничего не поменялось

Возможно ли при дальнейшем исследовании пропускать шаг сканирования ВСЕГО винта? Он занимает минут 40.

[TkachukA]

1) Я правильно понимаю, что обновлять систему (SP2 и IE7+) стоит после полного излечения?
2) Какие деструктивные действия выполняла эта зараза?

Спасибо за ваше благое дело

[V_Bond]

в логах ничего подозрительного .... прочитайте http://security-advisory.newmail.ru/ там вы найдете большинство ответов ...