Не могу ни как убить startdrv.
Собрать информацию не получается, при запуске любого скрипта в AVZ комп автоматически перезагружается при этом ни какой информации в лог-файле не сохраняется.
Не могу ни как убить startdrv.
Собрать информацию не получается, при запуске любого скрипта в AVZ комп автоматически перезагружается при этом ни какой информации в лог-файле не сохраняется.
Попробуйте сделать логи, загрузившись в безопасном режиме . Если получится, в дополнение сделайте еще дополнительные логи AVZ
Не хочет загружатся в безопасном режиме, при появлении логон экрана сам начинает перезагружатся
Давим F8 при включении и не входит в меню выбора?
Попытайтесь сделать http://virusinfo.info/showthread.php?t=10387
в обычном режиме.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
скрипт в авз выполнили, который написан в
http://virusinfo.info/showthread.php?t=9279 ?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
На сайте Касперского есть GetSystemInfo.
Попробуйте ее.
Или WinPFind3u http://download.bleepingcomputer.com...winpfind3u.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Можно попробовать так:
Открыть AVZ, на вкладке "Параметры поиска" поставить обе галки "Блокировать работу rootkit" и нажать "Пуск". Если отработает нормально, сделать Файл - Исследование системы и протокол сюда.
Если не выйдет, попробовать не ставить блокировку rootkit.
Если уж и так не пойдет, то хоть просто Исследование системы должно выполниться. Да и лог HijackThis надо сделать. Хоть какая-то информация для анализа будет.
I am not young enough to know everything...
GetSystemInfo нормально отработала
А информация которую дает GetSystemInfo и hijackthis будет достаточно?
Сделайте все, что предложено, какие логи получатся, такие и давайте.
I am not young enough to know everything...
Вот что получил
Это Лог руткета?
[skip]
C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS 21.06.2007 8:39 32.75 KB Hidden from Windows API.
@JB_ да это оно самое. Ваш паразит собственной персоной.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Попробуем такой скрипт в AVZ (надеюсь, он все-таки сработает):
Компьютер перезагрузится.Код:begin BC_QrSvc('runtime2'); BC_QrFile('C:\windows\temp\startdrv.exe'); BC_DeleteSvc('runtime2'); BC_DeleteFile('C:\windows\system32\drivers\runtime2.sys'); BC_DeleteFile('C:\windows\temp\startdrv.exe'); BC_Activate; RebootWindows(true); end.
После этого пробуйте сделать стандартные логи по правилам.
Последний раз редактировалось Bratez; 26.06.2007 в 14:35.
I am not young enough to know everything...
А мне советуют Загрузиться с диска, скопировать C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS
и отправить в drweb.
А ваш скрипт он по идее должен удалить эту гадости? Просто я бы нехотел его просто так удалять, надо чтоб его добавили в антивирусную базу
Для этого там есть строчка:
Сейчас для полноты добавлю еще про startdrv.exe и выполняйте.BC_QrSvc('runtime2');
Хотя с большой вероятностью он уже давно добавлен в базы, просто вы обновили их у себя после того как он к вам проник. А поскольку это руткит, полностью обезвредить его антивирус не может.
I am not young enough to know everything...
Скрипт карантинит гада и затем удаляет. Надеюсь, что Доктор Веб его уже знает. Можно карантин в службу поддержки отправить, указав какой пароль стоит.
Один из самых популярных за последние две недели.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Релизный доктор руткита не увидит, слаб еще. А вот бетка 4.44 справится на ура, при наличии в базах.
Скрипт сработал. Вот требуемые файлы для проверки, думаю что теперь все чисто))
Да, теперь все в порядке.
Содержимое карантина AVZ пришлите по правилам, вдруг и правда свежая модификация объявилась
I am not young enough to know everything...
Уважаемый(ая) JB_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.