Здравствуйте. Помогите пожалуйста разобраться с проблемами. Компьютер не мой, а друга.
Проблемы такие:
1. При каждой загрузке системы установленный антивирус AVG Free удаляет вирус в файле C:\WINDOWS\Temp\startdrv.exe
2. Наблюдаются частые притормаживания при включении компа, запуске браузера.
3. Иногда глючит видеокарта.
4. Иногда пропадает или не откликается панель задач.
Сделать логи AVZ невозможно. Программа запускается, обновляется, но при запуске стандартных скриптов №2 и №3 компьютер автоматически перезагружается (синих экранов нет). Антивирус и др. программы перед выполнением скрипта отключали.
Поэтому могу приложить только лог Hijackthis с компа друга. В нем видны подозрит. файлы, в т.ч. этот startdrv.exe. Компьютер не мой, ничего удалять и фиксить не стал, хочу получить совет. Подскажите пожалуйста, что можно в такой ситуации сделать.
BitAccelerator и MyWebSearch удалены, возможно остался мусор.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нет, к сожалению, не удалось.
При запуске скрипта №2 и №3 перезагрузка. При выборе пункта "Исслед. системы" перезагрузка. Посмотрите пожалуйста, может можно что-то сделать по логу хайджека????
А Вы попробуйте сделать лог по скрипту N2 этой спец. версией AVZ, предварительно включив AVZGuard.
Не помогло!
Сейчас попробую Gmer.
Кстати, комп стал часто пперезагружаться при включении инета. Пишет: осталась 1 мин, сохраните все данные, внезапно завершен процесс lsass.exe.
Добавлено через 13 минут
При запуске GMER тоже перезагрузка!!!!!
Добавлено через 21 минуту
Что еще посоветуете?
Последний раз редактировалось 1205; 01.08.2008 в 00:25.
Причина: Добавлено
Фух... Скрипт был с ошибкой (лишний апостроф), я исправил. Скрипт удался, карантин загрузил!!! Логи попробую сделать чуть позже. Зараженный комп перезагружается после подключения к интернету-60 сек ждет и перезагруз.
Добавлено через 10 минут
Логи AVZ по-прежнему не удаются.(использовал пинг-понг) Перезагруз.... Сейчас прикреплю хайджек.
Последний раз редактировалось 1205; 01.08.2008 в 01:25.
Причина: Добавлено
В системе, видимо, сидит руткит-драйвер. HijackThis такое не видит. Дальнейшее лечение только по логу HijackThis вряд ли что-то даст. http://rapidshare.com/files/132825692/hockey.pif.html - это переименованный IceSword. Проверьте, он запустится ? Вы можете его запустить так - зайти в пингпонг (AVZ) и включить AVZGuard. Потом запустить hockey.pif (IceSword) как доверенное приложение через меню AVZ.
Если он запустился, то зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Startup. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Три лога запакуйте в один архив и прикрепите архив.
Последний раз редактировалось kps; 01.08.2008 в 02:00.
Нет, вручную... или АВГ его убил, точно не помню. Сейчас будем пытаться сделать скрипт.
Добавлено через 9 минут
Сообщение от kps
Хорошо, а чем удаляли, IceSword'ом?
В его логе виден драйвер руткита.
Выполните скрипт в пингпонге:
После перезагрузки закачайте новый карантин и посмотрите, получатся ли логи AVZ.
После запуска написанного скрипта ребут...
Что ж за вирус такой мерзкий??
Последний раз редактировалось 1205; 01.08.2008 в 02:36.
Причина: Добавлено
Скрипт не выполнился? При выполнении скрипта в конце плановый ребут...
Не выполнился, а сразу перезагруз. После ребута опять файлы в корне диска и startdrv. Корневые файлы удаляются вручную, startdrv помещает в карантин авг. На время скрипта авг отключал, восстановление системы естественно отключено.
Добавлено через 2 минуты
kps огромное спасибо за Вашу помощь! Думаю, лечение этого компьютера продолжим завтра.(т.е. уже сегодня днем) Есть какие-то идеи по поводу удаления этого драйвера???
Последний раз редактировалось 1205; 01.08.2008 в 02:53.
Причина: Добавлено
Ну тогда IceSword'ом будем удалять.
Отключите антивирус.
Запустите сначала пингпонг (AVZ), включите AVZGuard и запустите как доверенное приложение hockey.pif (IceSword)
В IceSword слева выберите меню Process.
Если там будет C:\WINDOWS\Temp\startdrv.exe, то нажмите по нему правой кнопкой мыши и выберите Terminate Pocess.
Затем внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы
C:\WINDOWS\Temp\startdrv.exe
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\drivers\runtime.sys
и если есть - сначала скопируйте их куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по каждому из них правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Еще там скопируйте файлы, если есть:
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\ashDsp.exe
C:\WINDOWS\System32\Drivers\Beep.SYS
но их не удаляйте, перезагрузите компьютер.
Скопированные файлы пришлите в архиве с паролем virus по ссылке http://virusinfo.info/upload_virus.php?tid=27353
привет всем!
Все сделали... Файл runtime.sys не найден, runtime2.sys удален через ForceDelete. ip6fw.sys не найден, ashDsp.exe, Beep.SYS скопированы, карантин закачал. К сожалению, копии runtime2.sys в карантине нет, т.к. АВГ удалил эту копию. Не знаю, можно ли ее восстановить из карантина АВГ...
Beep.sys по Вирустоталу чистый, а вот ashDsp.exe вроде вирус http://www.virustotal.com/analisis/6...3e0ad7e707cc5f
После перезагрузки startdrv не появился, а вот в корне диска файлы снова появляются, но их можно вручную удалить. Все трояны по касперу.
Что теперь делать? Удалять ashDsp.exe?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: