Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Вирус в startdrv.exe и др.проблемы (заявка № 27353)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301

    Thumbs up Вирус в startdrv.exe и др.проблемы

    Здравствуйте. Помогите пожалуйста разобраться с проблемами. Компьютер не мой, а друга.
    Проблемы такие:
    1. При каждой загрузке системы установленный антивирус AVG Free удаляет вирус в файле C:\WINDOWS\Temp\startdrv.exe
    2. Наблюдаются частые притормаживания при включении компа, запуске браузера.
    3. Иногда глючит видеокарта.
    4. Иногда пропадает или не откликается панель задач.

    Сделать логи AVZ невозможно. Программа запускается, обновляется, но при запуске стандартных скриптов №2 и №3 компьютер автоматически перезагружается (синих экранов нет). Антивирус и др. программы перед выполнением скрипта отключали.
    Поэтому могу приложить только лог Hijackthis с компа друга. В нем видны подозрит. файлы, в т.ч. этот startdrv.exe. Компьютер не мой, ничего удалять и фиксить не стал, хочу получить совет. Подскажите пожалуйста, что можно в такой ситуации сделать.
    BitAccelerator и MyWebSearch удалены, возможно остался мусор.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    pingpong.pif - переименованный спец. AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
    Сделайте логи в нем (хотя бы лог syscheck). Обновлять базы в нем не нужно (т.к. невозможно).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    Цитата Сообщение от kps Посмотреть сообщение
    pingpong.pif - переименованный спец. AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
    Сделайте логи в нем (хотя бы лог syscheck). Обновлять базы в нем не нужно (т.к. невозможно).
    Нет, к сожалению, не удалось.
    При запуске скрипта №2 и №3 перезагрузка. При выборе пункта "Исслед. системы" перезагрузка. Посмотрите пожалуйста, может можно что-то сделать по логу хайджека????

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    сделайте лог этой утитилиткой

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    А Вы попробуйте сделать лог по скрипту N2 этой спец. версией AVZ, предварительно включив AVZGuard.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    Цитата Сообщение от kps Посмотреть сообщение
    А Вы попробуйте сделать лог по скрипту N2 этой спец. версией AVZ, предварительно включив AVZGuard.
    Не помогло!
    Сейчас попробую Gmer.
    Кстати, комп стал часто пперезагружаться при включении инета. Пишет: осталась 1 мин, сохраните все данные, внезапно завершен процесс lsass.exe.

    Добавлено через 13 минут

    При запуске GMER тоже перезагрузка!!!!!

    Добавлено через 21 минуту

    Что еще посоветуете?
    Последний раз редактировалось 1205; 01.08.2008 в 00:25. Причина: Добавлено

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Попробуем по логу HijackThis удалить:

    Если еще не отключили восстановление системы, то отключите его как написано в правилах.

    Выполните скрипт в AVZ (пингпонге):
    Код:
    begin
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\gdug.exe','');
    QuarantineFile('C:\WINDOWS\windowsys.com','');
    QuarantineFile('msnmanegers.exe','');
    QuarantineFile('fixweb.exe','');
    QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
    QuarantineFile('deww.exe','');
    QuarantineFile('%WINDIR%\system32\SubInACL.exe','');
    QuarantineFile('C:\Program Files\Save\Save.exe','');
    DeleteFile('%system32%\deww.exe');
    DeleteFile('%system32%\fixweb.exe');
    DeleteFile('C:\WINDOWS\System32\gdug.exe');
    DeleteFile('%system32%\msnmanegers.exe');
    DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    DeleteFile('C:\WINDOWS\windowsys.com');
    DelBHO('6D7B211A-88EA-490c-BAB9-3600D8D7C503');
    DelCLSID('8DAE90AD-4583-4977-9DD4-4360F7A45C74');
    BC_ImportALL;
    SysCleanAddFile('deww.exe'');
    SysCleanAddFile('gdug.exe');
    SysCleanAddFile('fixweb.exe');
    SysCleanAddFile('msnmanegers.exe');
    ExecuteSysClean;
    BC_DeleteSvc('windowsys');
    BC_DeleteSvc('system32 master');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27353 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    Фух... Скрипт был с ошибкой (лишний апостроф), я исправил. Скрипт удался, карантин загрузил!!! Логи попробую сделать чуть позже. Зараженный комп перезагружается после подключения к интернету-60 сек ждет и перезагруз.

    Добавлено через 10 минут

    Логи AVZ по-прежнему не удаются.(использовал пинг-понг) Перезагруз.... Сейчас прикреплю хайджек.
    Последний раз редактировалось 1205; 01.08.2008 в 01:25. Причина: Добавлено

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    новый лог
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    В системе, видимо, сидит руткит-драйвер. HijackThis такое не видит. Дальнейшее лечение только по логу HijackThis вряд ли что-то даст.
    http://rapidshare.com/files/132825692/hockey.pif.html - это переименованный IceSword. Проверьте, он запустится ? Вы можете его запустить так - зайти в пингпонг (AVZ) и включить AVZGuard. Потом запустить hockey.pif (IceSword) как доверенное приложение через меню AVZ.

    Если он запустился, то зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Зайдите в меню Startup. Нажмите на кнопку Log, сохраните лог под каким хотите именем.

    Три лога запакуйте в один архив и прикрепите архив.
    Последний раз редактировалось kps; 01.08.2008 в 02:00.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    Получилось. вот логи. временные папки очистили. вручную удалили startdrv и exe файлы в корне диска 4 шт. инет пока не вылетает.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Хорошо, а чем удаляли, IceSword'ом?
    В его логе виден драйвер руткита.
    Выполните скрипт в пингпонге:
    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
    QuarantineFile('%system32%\drivers\ip6fw.sys','');
    QuarantineFile('%system32%\drivers\runtime2.sys','');
    QuarantineFile('C:\WINDOWS\system32\ashDsp.exe','');
    QuarantineFile('%System32%\Drivers\Beep.SYS','');
    DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    DeleteFile('%system32%\drivers\runtime2.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('runtime2');
    BC_DeleteSvc('runtime');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки закачайте новый карантин и посмотрите, получатся ли логи AVZ.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    Цитата Сообщение от kps Посмотреть сообщение
    Хорошо, а чем удаляли, IceSword'ом?
    Нет, вручную... или АВГ его убил, точно не помню. Сейчас будем пытаться сделать скрипт.

    Добавлено через 9 минут

    Цитата Сообщение от kps Посмотреть сообщение
    Хорошо, а чем удаляли, IceSword'ом?
    В его логе виден драйвер руткита.
    Выполните скрипт в пингпонге:
    После перезагрузки закачайте новый карантин и посмотрите, получатся ли логи AVZ.
    После запуска написанного скрипта ребут...
    Что ж за вирус такой мерзкий??
    Последний раз редактировалось 1205; 01.08.2008 в 02:36. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Скрипт не выполнился? При выполнении скрипта в конце плановый ребут...
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    Цитата Сообщение от kps Посмотреть сообщение
    Скрипт не выполнился? При выполнении скрипта в конце плановый ребут...
    Не выполнился, а сразу перезагруз. После ребута опять файлы в корне диска и startdrv. Корневые файлы удаляются вручную, startdrv помещает в карантин авг. На время скрипта авг отключал, восстановление системы естественно отключено.

    Добавлено через 2 минуты

    kps огромное спасибо за Вашу помощь! Думаю, лечение этого компьютера продолжим завтра.(т.е. уже сегодня днем) Есть какие-то идеи по поводу удаления этого драйвера???
    Последний раз редактировалось 1205; 01.08.2008 в 02:53. Причина: Добавлено

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Ну тогда IceSword'ом будем удалять.
    Отключите антивирус.
    Запустите сначала пингпонг (AVZ), включите AVZGuard и запустите как доверенное приложение hockey.pif (IceSword)
    В IceSword слева выберите меню Process.
    Если там будет C:\WINDOWS\Temp\startdrv.exe, то нажмите по нему правой кнопкой мыши и выберите Terminate Pocess.
    Затем внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файлы
    C:\WINDOWS\Temp\startdrv.exe
    C:\WINDOWS\system32\drivers\runtime2.sys
    C:\WINDOWS\system32\drivers\runtime.sys
    и если есть - сначала скопируйте их куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по каждому из них правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Еще там скопируйте файлы, если есть:
    C:\WINDOWS\system32\drivers\ip6fw.sys
    C:\WINDOWS\system32\ashDsp.exe
    C:\WINDOWS\System32\Drivers\Beep.SYS
    но их не удаляйте, перезагрузите компьютер.
    Скопированные файлы пришлите в архиве с паролем virus по ссылке http://virusinfo.info/upload_virus.php?tid=27353

    О результатах сообщите.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    привет всем!
    Все сделали... Файл runtime.sys не найден, runtime2.sys удален через ForceDelete. ip6fw.sys не найден, ashDsp.exe, Beep.SYS скопированы, карантин закачал. К сожалению, копии runtime2.sys в карантине нет, т.к. АВГ удалил эту копию. Не знаю, можно ли ее восстановить из карантина АВГ...
    Beep.sys по Вирустоталу чистый, а вот ashDsp.exe вроде вирус http://www.virustotal.com/analisis/6...3e0ad7e707cc5f
    После перезагрузки startdrv не появился, а вот в корне диска файлы снова появляются, но их можно вручную удалить. Все трояны по касперу.
    Что теперь делать? Удалять ashDsp.exe?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    да, удалим таким скриптом:
    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\ashDsp.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Логи AVZ (в пингпонге) получится сделать?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #19
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    После выполнения скрипта перестали создаваться трояны в корне диска. Логи попробую снять с зараженного компа.

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    Логи AVZ получились!
    Вложения Вложения

  • Уважаемый(ая) 1205, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 05.10.2010, 18:01
    2. вирус startdrv.exe win32/trojanDownloaderAgent.NTU
      От sergey2008 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 04:42
    3. Вирус Startdrv
      От tatianka2014 в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 22.02.2009, 03:24
    4. startdrv.exe
      От bilat в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 03:18
    5. вирус startdrv
      От emm в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.01.2008, 23:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01591 seconds with 20 queries