AVZ конфликтует с win2K

[SIZE=2]Испытываю проблемы с удалением вируса Trojan-Downloader.Win32.Agent.brk [/SIZE]

[SIZE=2]Сделал по инструкции:[/SIZE]

[SIZE=2]1. Перегрузился в безопасный режим. Запустил cureit.exe Он нашел вирус и удалил[/SIZE]
[SIZE=2]2. перегрузился в нормальный режим. позакрывал все, кроме ИЕ. Запустил AVZ, выбрал задание и нажал старт. через несколько секунд вылетеле синий экран. [/SIZE]

[SIZE=2]Повторный эксперимент привел к тому же результату. В безопасном режиме тоже самое.[/SIZE]

[SIZE=2]Сейчас из всех проявлений вируса обнаруживается только создание при загрузке компа файла startdrv.exe[/SIZE]

[SIZE=2]Избавиться от этого не получается и запустить AVZ, чтобы логи сюда запостить, тоже не получается. Что посоветуете (кроме как переустановить систему)?[/SIZE]

Попробуйте сделать лог в безопасном режиме, как описано [URL="http://virusinfo.info/showthread.php?t=10387"]здесь[/URL].
(Если будет вылетать при запуске скрипта #1, пропустите этот шаг).

Попытался. Постоянно синяя смерть вылетает. Может можно вручную все поправить. Я понимаю, что startdrv.exe генерируется каким-то зараженным виндусячим процессом. Или это не так?

Скачайте Winpfind - [url]http://download.bleepingcomputer.com/oldtimer/winpfind3u.exe[/url] и попробуйте сделать лог с помощью него.

[QUOTE]Постоянно синяя смерть вылетает. [/QUOTE]
На синем экране упоминается какой-либо файл?

В безопасном режиме запустите regedit, раскройте ветку
HKLM\System\CurrentControlSet\Services.
Ключи следующего уровня соответствуют службам и драйверам Windows.
Если среди них найдутся runtime, runtime2, xpdt, xpdx - удалите. Затем перейдите на верхний уровень ("Мой компьютер") и запустите поиск по образцу startdrv.exe, удалите все ссылки на этот файл, и сам файл в папке Windows\Temp.

[quote=RiC;116923]Скачайте Winpfind - [URL]http://download.bleepingcomputer.com/oldtimer/winpfind3u.exe[/URL] и попробуйте сделать лог с помощью него.[/quote]
Скачал-запустил. Вижу очень много опций и кнопок. Не знаю, какую надо нажать, чтобы сделать лог.

[QUOTE]На синем экране упоминается какой-либо файл?
[/QUOTE]
Нет, никакого конкретно файла не упоминается.

[QUOTE]
В безопасном режиме запустите regedit, раскройте ветку
HKLM\System\CurrentControlSet\Services.
Ключи следующего уровня соответствуют службам и драйверам Windows.
Если среди них найдутся runtime, runtime2, xpdt, xpdx - удалите. Затем перейдите на верхний уровень ("Мой компьютер") и запустите поиск по образцу startdrv.exe, удалите все ссылки на этот файл, и сам файл в папке Windows\Temp.
[/QUOTE]
Сделал. Из ключей нашел только runtime
Его удалил. Ссылки на startdrv.exe и его самого удалил. Перегрузился: без результата - startdrv.exe снова живее всех живых.

Еще у меня есть ключ RUN у Explorer. Он ссылается на файл, которого нет - csrss.exe (файл был удален антивирусом). Но я на одном компе уже завалил систему, когда такой же ключ грохнул. Поэтому сейчас его не рискую трогать. Или вес таки сейчас это уже безопасно?

Еще вопрос: какой механизим воспроизводства у обсуждаемого вируса? Откуда он берет этот свой startdrv.exe? Ведь он же и без инета его восстанавливает! Может он закэширован или прописан в буте?

Задавал поиск по диску на предмет изменнных файлов: ничего подозрительного не нашел. Конечно, я допускаю, что вирус мог поправить дату измененного файла, но раньше подобные вирусы этим не занимались.

Еще одна мысль на тему. Я задал поиск по диску, чтобы найти файл со сигнатурой startdrv.exe . Нашел только в папке HISTORy защищенной файл index.dat Он может быть причиной зла?

Можно поступить проще - запустить AVZ, там Файл/Исследование системы, поставить все птички и нажать пуск. Он предложит сохранить протокол исследования, который можно приаттачить сюда. Аналогично можно запустить сканирования без подавление перехватов - просто нажать "Пуск" в AVZ, лог сохранить в текстовый файл и прицепить сюда.

[quote=Зайцев Олег;116991]Можно поступить проще - запустить AVZ, там Файл/Исследование системы, поставить все птички и нажать пуск. Он предложит сохранить протокол исследования, который можно приаттачить сюда. Аналогично можно запустить сканирования без подавление перехватов - просто нажать "Пуск" в AVZ, лог сохранить в текстовый файл и прицепить сюда.[/quote]
Да я бы срадостью запустил, но AVZ зависает. Тоько что убедился в этом в очередной раз. Даром, что чуть дольше проработал, чем обычно.


[QUOTE]
На синем экране упоминается какой-либо файл?
[/QUOTE]

Bratez, оказывается есть там упоминание файла - fastfat.sys

Я его посмотрел - дата и размер совпадают с файлом, который шел в поставке сервиспака.

[B]fastfat.sys[/B] сам по себе ни при чем, я такое встречал уже...
Давайте попробуем такой скрипт карантина вслепую:
[code]
begin
BC_QrSvc('ip6fw');
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_QrSvc('xpdt');
BC_QrSvc('xpdx');
BC_QrSvc('NDnet1');
BC_Activate;
Rebootwindows(true);
end.[/code]
После перезагрузки пришлите все, что попадет в карантин, по правилам.

[QUOTE]После перезагрузки пришлите все, что попадет в карантин, по правилам.[/QUOTE]
Сделал/прислал. Сначала забыл пароль добавить. Второй архив отправил с паролем, но пока их вэтйо ветке не вижу.Может подождать надо?

В карантин ничего не попало, только два *.ini, из содержания которых
вытекает подозрение на два из вышеупомянутых руткитов.
Выполните такой скрипт:
[code]
begin
BC_DeleteSvc('runtime2');
BC_DeleteSvc('NDnet1');
BC_DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINNT\system32\ksys.sys');
BC_Activate;
Rebootwindows(true);
end.[/code]
и у меня ооочень большие надежды, что после перезагрузки вам таки удастся сделать стандартные логи ;)

[QUOTE]и у меня ооочень большие надежды, что после перезагрузки вам таки удастся сделать стандартные логи[/QUOTE]
Оле-оле! Так и вышло. Логи и карантин закачал.


ВОПРОС: можно вручную прибить ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ?
[COLOR="Sienna"][B]
virusinfo_cure.zip Прикреплять запрещено правилами !!![/B][/COLOR]

логи прикрепите к вашему сообщению :)

закачал

1. Очистите корзину, там копии вашего startdrv.exe.

2. Выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\csrss.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]

3. После перезагрузки новый карантин пришлите по правилам.

выложите лог [B]hijackthis[/B] и удалите [B]virusinfo_cure.zip[/B] из сообщения

[QUOTE]выложите лог hijackthis [/QUOTE]
[QUOTE]После перезагрузки новый карантин пришлите по правилам.[/QUOTE]
Меня добрый модератор отругал уже за нарушение правил. Я так и не разобрался, что и как надо прикреплять. У меня есть сейчас карантин (два файла) и hijackthis.log . Их можно прямо к сообщению прикреплять? Зиповать и паролить надо?

HijackThis.log - прикрепить к сообщению.
Карантин, один, последний - отправить через [URL="http://virusinfo.info/upload_virus.php?tid=10494"]эту форму[/URL].

вот эти надо AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip), так уж сложно ? они уже в зипе и запаролены [B]( повторно не надо зиповать )[/B]и hijackthis.log который [B]не надо [/B]зиповать, остаётся только присоединить. Читайте внимательней правила .

[quote=Bratez;117041]HijackThis.log - прикрепить к сообщению.
Карантин, один, последний - отправить через [URL="http://virusinfo.info/upload_virus.php?tid=10494"]эту форму[/URL].[/quote]
сделал. Карантин пишет про csrss.exe , а его в указанной папке не нахожу. Это с чем связано?