Показано с 1 по 14 из 14.

DrWeb не может удалить startdrv.exe (заявка № 10953)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    7
    Вес репутации
    35

    Thumbs up DrWeb не может удалить startdrv.exe

    При проверке DrWeb-ом обнаружились зараженные файлы:
    C:\WINDOWS\system32\drivers\ip6fw.sys
    C:\WINDOWS\system32\drivers\runtime2.sys
    C:\WINDOWS\Temp\startdrv.exe

    Файл ip6fw.sys мне удалось заменить здоровым из папки dllcache, DrWeb перестал на него ругаться. Проблема с этим файлом решикась, как мне кажется.

    Для файла runtime2.sys в "Безопасности" для всех пользователей я снял все разрешения и выставил все запреты. После перезагрузки файл удалось удалить.

    Файл startdrv.exe - удаляется без проблем, но после перезагрузки восстанавливается. На данный момент я снял с него все разрешения и выставил все запреты. Но к сожалению, не могу судить насколько это окажется действенно для вируса.

    Перед выполнением всех манипуляций с файлами восстановление системы было отключено.

    Так же обнаружил, что реестре самовосстанавливаются после перезагрузки следующие ветки (это происходить уже после того как файл runtime2.sys был удален):
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\runtime2.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\runtime2.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\r untime2]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Minimal\runtime2.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Network\runtime2.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\r untime2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\runtime2.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\runtime2.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\runtime2]

    А вот эти ветки система не дает удалять, говорит: "Ошибка удаления раздела"
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_RUNTIME2]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_RUNTIME2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RUNTIME2]
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteSvc('runtime2');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    Потом ещё один
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\winwea32.dll','');
    RebootWindows(false);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    7
    Вес репутации
    35
    Файлы карантина выслал.
    Ниже - логи.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DelCLSID('91BA5991-C1CA-4B93-BE2F-2F95BF0E2702');
     DelCLSID('A416D604-EAA3-4618-958C-2ECA22414616');
     DelCLSID('0E1230F8-EA50-42A9-983C-D22ABC2EED3B');
     DelCLSID('4B5A7560-16C6-4063-86D3-000000000003');
     DeleteFile('C:\WINDOWS\system32\winwea32.dll');
     SysCleanAddFile('winwea32.dll');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.

  6. #5
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    7
    Вес репутации
    35
    Систему проверил DrWeb-ом - вирусов обнаружено не было.
    Единственно хотел отметить, что при выполнения двух последних скриптов в начале процесса перезагрузки - система висла намертво, помогал только reset. Так должно быть ? В дальнейшем, при повторных перезагрузках, ни каких проблем не наблюдалось.
    В любом случае, всем кто мне помогал, хочу сказать большое спасибо! Было приятно иметь с вами дело

    P.S. У меня в методах оповещения было выставлено "Моментальное уведомление на email" - однако ни одного уведомления на мой майл так и не пришло.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    повторите логи для контроля.

  8. #7
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    7
    Вес репутации
    35
    Держите
    Вложения Вложения

  9. #8
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    "Пофиксите" в HijackThis
    Код:
    O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - (no file)
    O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - (no file)
    Проблема решена?

  10. #9
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    7
    Вес репутации
    35
    Пофиксил
    Проблема решена?
    Если Вы о всплывающих окнах в IE, то мне трудно сказать решена ли проблема. Я не пользуюсь IE, использую Оперу.

  11. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Я имею ввиду первоначальную проблему, которая Вас заставила обратиться на форум.

  12. #11
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    7
    Вес репутации
    35
    На данный момент первоначальная проблема решена, DrWeb говорит, что "все чисто". Еще раз всем спасибо, тему считаю закрытой.

  13. #12
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  14. #13
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    7
    Вес репутации
    35
    Файлик закачал (070711_191951_virusinfo_files_KARELIN-CMP_4694f51706c0e.zip)

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,524
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winwea32.dll - Trojan.Win32.Agent.qt (DrWEB: Trojan.Mezzia)
      2. c:\\windows\\temp\\startdrv.exe - Trojan-Downloader.Win32.Diehard.bi (DrWEB: BackDoor.Bulknet)
      3. \\startdrv.exe - Trojan-Downloader.Win32.Agent.fke (DrWEB: Trojan.Packed.230)


  • Уважаемый(ая) hKarel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 23.10.2011, 20:52
    2. Троян в startdrv.exe невозможно удалить
      От ShaaMee в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 03:03
    3. как удалить startdrv.exe
      От mmg82 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.12.2007, 10:56
    4. удалить startdrv.exe
      От КАА в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.12.2007, 23:28
    5. невозможно удалить startdrv.exe
      От Apriori2007 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.11.2007, 09:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01291 seconds with 23 queries