startdrv.exe / при попытке сделать в AVZ лог .. синий экран

[sinner76]

Добрый день . У меня следующая проблема. После перезагрузки компьютера , очень тормозил комп , висел qttask.exe 99% , я убрал в автозагрузке КвикТайм и с этим вроде как нормально , НО постаянно после перезагрузки появляется файл startdrv.exe , который сразу же у меня убивает Panda Antivirus Platinum , но затем все по новой ... Пробывал запустить AVZ и сделать лог , но выскакивает синий экран , в безопасном режиме тоже самое , cureit проходит только быструю проверку , При попытке проверить весь каталог windows также появляется синии экран (в безапасном режиме тоже самое).И вот получается лог в AVZ сделать не могу только hijackthis. Подскажите пожалуста что делать ?

[Макcим]

Сделайте дополнительный лог как написано здесь.

[sinner76]

Получилось только по первому пункту
1. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить

при выполнении второго пункта всё тот же синии экран (((

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 BC_QrSvc('runtime2');
 BC_QrSvc('runtime');
 BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_QrFile('C:\WINDOWS\system32\drivers\runtime.sys');
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('runtime');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_Activate;
 RebootWindows(true);
end.

Пришлите файлы карантина по правилам раздела "Помогите". Попробуйте сделать логи.

[sinner76]

почемуто выдает Ошибка скрипта: Undeclared identifier: 'BC_QrSvc', позиция [2:10]

[Макcим]

Какая у Вас версия AVZ?

[sinner76]

4.23 только обновлял и все

если это из-за этого ... сорри .. скачиваю новую

[Макcим]

Вот что бывает при несоблюдении правил.

[sinner76]

вот ... вродебы так )

[Макcим]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\TaskKeyHook.dll','');
 QuarantineFile('C:\WINDOWS\system32\tmp_57.dll','');
 DeleteFile('C:\WINDOWS\system32\tmp_57.dll');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_57.dll
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

Мне закрывать тему? Вы уже нарушили несколько пунктов.

2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! и проверить систему (имеется ввиду полная проверка всех дисков, желательно записав перед этим саму утилиту на CD и уже из CD запустить утилиту)в безопасном режиме. ~5 mb После этого следует просто перегрузиться ( обычный режим).

Наверняка не делали.

3. Скачайте Антивирусную утилиту AVZ. Даже если у Вас есть AVZ скачайте её заново, в утилиту постоянно добавляются новые опции поиска вредоносного ПО. ~2 mb

Тоже пропустили.

Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер (Internet Explorer. Если он не запущен - запустите)!!!

Не выполнено.

Приложение 3. Как прислать запрошенные файлы.

1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.

4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенные файлы) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу http://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).

Вы прикрепили к сообщению.

Выписываю нарушение.

[sinner76]

1000 извинений !!!! я первый раз , и по этой причине многое путаю , еще раз прошу прощения !!!

DrWeb - CureIT! скачивал в самом начале , я писал , но вот проверял только тогда когда выплывало синее окно ) чесно )

вот антивирусные выключаю , но все равно что-то от него остается , если я не путаю ((( я просто не знаю как убрать dll от него и т.п.

вот , если вновь ничего не напутал , вроде как сделал ) я извиняюсь если вновь чёт не так !!!

[Макcим]

1000 извинений !!!! я первый раз , и по этой причине многое путаю , еще раз прошу прощения !!!

Извинения принимаются, однако не забывайте, что правила у нас не для галочки. Вы потеряете больше времени своего и моего, если их не читать.

Похоже Вы побоялись фиксить reset5.dll. На SP2 он всё равно не работает...

Карантин Вы загрузили старый. После выполнения скрипта должен был появиться новый.

[sinner76]

вот все сделал по новой , карантин тоже обновил

[sinner76]

у меня еще небольшая проблема )

вообщем то о чем я писал в начале темы у меня вроде больше не появлется , НО переодически после перезагрузки Панда находит следущее

Virus detected: Rootkit/Agent.GAC File antivirus protection 07/19/07 19:51:09 Disinfected Path: c:\windows\system32\nso12k.sys
Virus detected: Trj/Agent.GAD File antivirus protection 07/19/07 14:11:26 Disinfected Path: c:\windows\system32\lt88.exe

сделал вот новые логи , подскажите пожалуйста что делать ...

[Muzzle]

1)поместите эти файлы в карантин и пришлите по правилам.
2) AVZ--сервис--менеджер файла hosts
удалите две строки
203.223.158.21 login.osmp.ru
203.223.158.21 atl.osmp.ru

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 10
• В ходе лечения вредоносные программы в карантинах не обнаружены