Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 42.

Злобный неубиваемый startdrv.exe (заявка № 13942)

  1. #1
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Москва
    Сообщений
    23
    Вес репутации
    60

    Thumbs up Злобный неубиваемый startdrv.exe

    Не желал убиваться совсем startdrv.exe, т.е. просто не давал себя убить. Никак. И еще порождал новых троянов.
    К тому же отрубился диспетчер задач (выдается сообщение "Диспетчер задач выключен администратором").
    Запустил , как у вас тут написано AVZ и Hijackthis.
    (сделал все по инструкции).
    Подскажите , пожалуйста, что делать дальше.
    Если можно - по-простому, "для чайников"
    Заранее - стотыщ благодарностей!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    выполните скрипт...
    Код:
    begin
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\lsetup.exe');
     QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\bho.dll','');
     QuarantineFile('C:\WINDOWS\system32\lsetup.exe','');
     DeleteFile('C:\WINDOWS\system32\bho.dll');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA ');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    выполните http://virusinfo.info/showthread.php?t=8877

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В дополнение:
    C:\WINDOWS\system32\winlogon.exe
    пришлите по правилам (приложение 2),
    похоже патченный.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Москва
    Сообщений
    23
    Вес репутации
    60
    Закачал все как сказали, вроде. За сим убегаю, извините, дитё забрать надо!!!
    Завтра сразу же продолжу лечение. Спасибо огромное за оперативный ответ!

    Добавлено через 1 минуту

    Закачал все как сказали, вроде. За сим убегаю, извините, дитё забрать надо!!!
    Завтра сразу же продолжу лечение. Спасибо огромное за оперативный ответ!
    Последний раз редактировалось Мишаня; 07.11.2007 в 18:30. Причина: Добавлено

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Trojan-Spy.Win32.KeyLogger.rp C:\WINDOWS\Temp\startdrv.exe
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\autorun.inf','');
     DeleteFile('C:\autorun.inf');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    C:\WINDOWS\system32\winlogon.exe - чистый

  7. #6
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Москва
    Сообщений
    23
    Вес репутации
    60
    Здравствуйте еще раз! Проделал все указанные процедуры.
    Теперь другая беда - Винда грузится только в безопасном режиме.
    При обычной - виснет мертво на стадии "Загрузка Windows"
    причем, даже лампочка диска не моргает.

    Что делать дальше? На вас вся надежа, местные гуру!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В безопасном сделайте такой лог:
    http://virusinfo.info/showthread.php?t=10387
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Москва
    Сообщений
    23
    Вес репутации
    60

    вот, сделал

    а остальные логи надо еще раз ? если надо - скажите, сделаю
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт:
    Код:
    begin
     ClearQuarantine;
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     ExecuteSysClean;
     BC_QrFile('C:\WINDOWS\System32\drivers\protect.sys');
     BC_QrFile('C:\WINDOWS\system32\drivers\ntoss.sys');
     BC_QrFile('C:\WINDOWS\system32\drivers\ntosnh.sys');
     BC_QrFile('C:\WINDOWS\system32\drivers\kcp.sys');
     BC_DeleteSvc('protect');
     BC_DeleteSvc('runtime2');
    BC_Activate;
    RebootWindows(true);
    end.
    после перезагрузки пришлите карантин по правилам.
    Последний раз редактировалось Bratez; 08.11.2007 в 17:12.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Москва
    Сообщений
    23
    Вес репутации
    60
    еще вопросик - вчера rubin сказал, что
    C:\WINDOWS\system32\winlogon.exe - чистый, возражений ни от кого не последовало. Я правильно понял, что его из карантина можно восстановить обратно ?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Его копию только взяли в карантин, на самой машине на своём месте он остался

  13. #12
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Москва
    Сообщений
    23
    Вес репутации
    60
    не запускается скрипт, сообщение: " ошибка: Too many actual parameters в позиции 5:11"

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Извиняюсь, поправил ошибки, скопируйте заново.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Москва
    Сообщений
    23
    Вес репутации
    60
    Извиняться вовсе даже не за что !
    отправил карантин.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\bho.dll (file missing)
    Выполните такой скрипт:
    Код:
    begin
     BC_DeleteSvc('kcp');
     BC_DeleteSvc('ntosnh.sys');
     BC_DeleteSvc('ntoss.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Пробуйте обычный режим. Если пойдет, сделайте новые логи.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Москва
    Сообщений
    23
    Вес репутации
    60
    все сделал - не пошло , только в безопасном режиме, по прежнему.
    а теперь с работы выгоняют - закрывать все надо. Если не против - завтра продолжим? или что-то нужно выслать сейчас?

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Ждем конечно

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Продолжим конечно. Я думаю надо удалить оба ваши антивируса. Когда долечим, поставите один, какой больше ндравится .
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Москва
    Сообщений
    23
    Вес репутации
    60
    Др.Веб удалится легко, а вот Нортон антивирус я и так хотел снести, но он, зараза, в безопасном режиме не удаляется. Завтра буду пробовать руками снести.
    Если есть рекомендации - тут напишите, завтра с утра приду - прямо с них и начну.

    и спасибо за поддержку!

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Не удаляется, потому что в безопасном не работает MS Installer.
    Можно заставить его работать следующими командами:
    Код:
    reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer" /VE /T REG_SZ /F /D "Service"
    net start MSIServer
    (скопируйте код в .bat файл для удобства).
    I am not young enough to know everything...

  • Уважаемый(ая) Мишаня, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Злобный windefender.exe
      От Cool JO в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 28.11.2011, 21:36
    2. Злобный Winlock
      От moskva в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.05.2011, 22:24
    3. Злобный Винлок!
      От Скляров Александр в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.07.2010, 23:28
    4. очень злобный руткит
      От marinka1284 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 04.02.2010, 22:45
    5. Злобный вирус
      От AlexV в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.11.2008, 15:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00064 seconds with 20 queries