Junior Member
Вес репутации
60
Sartdrv.exe опознается как троян, удаляется, но воскресает
Система WinXP Pro Rus SP2. Антивирус Norton SystemWorks 2005.
При включении Windows выдает сообщение об ошибке с предложением отпавить им отчет. Сразу после него антивирус начинает кричать, что есть троян:
"C:\WINDOWS\Temp\startdrv.exe", "Trojan.Pandex",
но вылечить или удалить его не может. Если после этого зайти в указанную папку, чтобы удалить вручную файл, то сразу после захода в папку антивирус повторно кричит о трояне и автоматически удаляет его. После перезагрузки ситуация точно повторяется. Прошу помочь, спасибо
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{21294687-8635-40A9-99D3-84AA99B2950C}\RP7\A0001759.sys','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\System Volume Information\_restore{21294687-8635-40A9-99D3-84AA99B2950C}\RP7\A0001759.sys');
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Выполнил скрипт, перезагрузился, сохранил лог карантина согласно приложению 3 правил.
Сделал логи еще раз.
Вложения
Самый главный жук остался.
Выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('ctl_w32');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportALL;
BC_DeleteSvc('ctl_w32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин надо загружать тут:
http://virusinfo.info/upload_virus.php?tid=16270
И логи сделайте снова.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Скрипт выполнил.
Карантин закачал по вашей ссылке.
Логи новые прикрепил
Вложения
Теперь порядок.
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)
Посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
Добавлено через 2 минуты
Для справки:
startdrv.exe - Trojan.Win32.Agent.dfa
ctl_w32.sys - Rootkit.Win32.Agent.pq
Последний раз редактировалось Bratez; 11.01.2008 в 17:39 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
60
Отключил восстановление системы
Пофиксил все указаннное HijackThis:
Не нужны:
1) Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
2) Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
3) Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
4) Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
5) Безопасность: к ПК разрешен доступ анонимного пользователя
6) Безопасность: Разрешена отправка приглашений удаленному помошнику
7) Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
Выполните скрипт в AVZ
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('RemoteRegistry', 4);
end.
Aibek2, на всякий случай: если есть локалка с общим доступом к файлам и принтерам, анонима запрещать не надо!
Сделайте для контроля логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Сорри за перерыв. Проблема с компом на работе, поэтому в выходные доступа к нему не имею. С вашего разрешенеия продолжаю: выполнил ваш скрипт в AVZ за исключением анонима
Junior Member
Вес репутации
60
Прикрепил логи, начиная с п.10 правил
Вложения
в логах ничего зловредного не вижу ....
какие-то проблемы остались ?
Junior Member
Вес репутации
60
Проблема снята. Большое спасибо за бесплатную помощь!
Так и не понял, чем же тогда занимается Norton SystemWorks 2005
Лечерние реестра, проверкой диска вместо chkdsk, дефрагментация.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 6 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\ctl_w32.sys - Rootkit.Win32.Agent.pq (DrWEB: Trojan.NtRootKit.496) c:\\windows\\temp\\startdrv.exe - Trojan.Win32.Agent.dfa (DrWEB: BackDoor.Bulknet.105)