Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Советы системного администратора Выпуск №5


Советы системного администратора
Сайт рассылки: MasterLin - Блог системного администратора.

Что такое msrdrv.exe и как с ним бороться?

Msrdrv.exe – это вирус, а точнее сетевой червь. Эта зараза в свое время принесла мне не мало гадостей, прежде чем удалось от него избавиться. В своей работе и распространения он использует бреши в безопасности операционной системы, так что для предотвращения заражения ПК по сети необходимо в первую очередь залатать эти дыры путем соответствующих обновлений ОС.

По классификации Dr.Web msrdrv – это Win32.HLLW.Autoruner.1743, т.е. он использует для заражения автораны на флешках и дисках, проще говоря, при открытии любого диска (папки), а чаще всего флешки, создается копия вируса и происходит заражение ПК. Вирус прописывается в автозапуск по адресу C:\Documents and Settings\All Users\Application Data\msvd32srv\msrdrv.exe и создает копии авторанов на диске. При попытке открыть с зараженного ПК (либо зайти на этот ПК) любой другой из сети, происходит заражение компьютера в сети. Также от данного вируса происходит периодическое «падение» сети, которое излечивается только перезагрузкой ПК.

В первую очередь нужно залатать дырки в ОС для предотвращения заражения по сети, для этого нужно скачать и установить следующие обновления:

для Windows XP (SP2)WindowsXP-KB957097-x86-RUS, WindowsXP-KB958644-x86-RUS, WindowsXP-KB958687-x86-RUS.

для Windows Server 2003 (SP1)WindowsServer2003-KB957097-x86-RUS, WindowsServer2003-KB958644-x86-RUS, WindowsServer2003-KB958687-x86-RUS.

Все эти обновления можно легко найти на официальном сайте Microsoft или скачать здесь – для Windows XP (SP2) и для Windows Server 2003 (SP1).

Теперь приступим к удалению:

После данных обновлений и проверки хорошим антивирусом со свежими базами этот вирус будет полностью удален, но если у Вас по какой-то причине нет антивирусных программ, то можно воспользоваться утилитой AVZ в автоматическом или ручном режимах. Предлагаю несколько скриптов для утилиты AVZ, которые помогут удалить нашего червяка:

Скрипт для удаления вируса с компьютера:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\msvd32srv\msrdrv.exe','');
TerminateProcessByName('c:\documents and settings\all users\application data\msvd32srv\msrdrv.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\msvd32srv\msrdrv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msvd32srv');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Скрипт для удаления вируса с флешки – диск F, в Вашем случае это может быть и другой диск, смотрите Мой компьютер:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\msrdrv.exe','');
DeleteFile('F:\msrdrv.exe');
DeleteFile('F:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения любого из данных скриптов произойдет перезагрузка компьютера, после которой вирус будет полностью удален.

Как запускать такие скрипты Вы уже знаете из прошлых постов – Как выполнить свой скрипт в AVZ.

На этом все!!! Удачи и всегда обновляйте базы антивируса :)

Оригинал статьи, можно прочитать здесь - Что такое msrdrv.exe и как с ним бороться?

Понравился мой блог !?

Ты можешь помочь мне в его развитии, если у тебя есть свой сайт, то я прошу поставить в нем ссылку, например, Блог системного администратора
Если захочешь, то я могу тоже поставить ссылку в ближайшем посте на твой сайт, т.е. постовый.
Или ты можешь просто добавить мой блог в свои закладки на любом известном сервисе (например: toodoo.ru, bobrdobr.ru, memori.ru и т.д.). Заранее огромное спасибо!!!
Ваши просьбы, пожелания, отзывы можете направлять по следующему адресу - Пишите письма

В избранное