Замучал startdrv.exe

Printable View

09.07.2007, 17:31
caspa

Вложений: 3

Замучал startdrv.exe

Пожалуйста, помогите с этим вирусом ;)
09.07.2007, 17:39
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
BC_QrSvc('runtime2');
BC_QrFile('c:\WINDOWS\system32\rpcc.dll');
BC_QrFile('c:\windows\system32\sndrec32.dll');
BC_QrFile('c:\windows\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_DeleteFile('c:\WINDOWS\system32\rpcc.dll');
BC_DeleteFile('c:\windows\system32\drivers\runtime2.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {E3616E66-C13B-2628-2CDF-EDABCFA235E1} - (no file)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
09.07.2007, 17:49
drongo

[B]вдогонку[/B] :Поискать на компьютере
[B]Relive.dll [/B] вот так : [url]http://virusinfo.info/showthread.php?t=4567[/url]
И прислать по ссылке как полагается .
Однако, совсем не дееспособный у вас антируткит от авг. Лучше удалить такое счастье, из -за него скрипты AVZ могут не сработать.
09.07.2007, 19:07
Макcим

runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B]
sndrec32.dll - [B]Trojan-Spy.Win32.BZub.ip[/B]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
BC_QrFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteSvc('Microsoft security update service');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteFile('c:\windows\system32\sndrec32.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\sndrec32.dll[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.

Меняйте срочно все пароли, которые вводили в браузер.
09.07.2007, 19:55
caspa

Вложений: 3

[quote=Maxim;121474]runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B]
sndrec32.dll - [B]Trojan-Spy.Win32.BZub.ip[/B]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[code]begin
ClearQuarantine;
BC_QrFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteSvc('Microsoft security update service');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteFile('c:\windows\system32\sndrec32.dll');
BC_Activate;
RebootWindows(true);
end.[/code]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [code]O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\sndrec32.dll[/code]
Пришлите файлы карантина по [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL] раздела "Помогите". Повторите логи.

Меняйте срочно все пароли, которые вводили в браузер.[/quote]

Новые логи, спасибо, что помогаете. А мне на вход в инет тоже менять пароли?
09.07.2007, 20:14
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\sndrec32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Сделайте логи в нормальном режиме.
09.07.2007, 20:57
caspa

Вложений: 3

Спасибо огромное!!!!!!!! На всякий случай, высылаю новые логи еще раз ;)
09.07.2007, 21:06
Макcим

В логах чисто. Проблема решена?
09.07.2007, 21:25
caspa

[quote=Maxim;121526]В логах чисто. Проблема решена?[/quote]

Да, спасибо Вам огромное!!! Не поверите, так и хакером не далеко стать ;)
09.07.2007, 22:19
Макcим

[QUOTE='caspa;121533']Не поверите, так и хакером не далеко стать[/QUOTE]Верю, тем более что сам примерно так в хелперы пришел. ;)

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
09.07.2007, 23:03
drongo

остались следы : O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe (file missing)
выполните скрипт в авз:
[code]
begin
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.

[/code]
22.02.2009, 02:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\system32\\msvcrtd.exe - [B]Trojan.Win32.Pakes.blt[/B] (DrWEB: Trojan.MulDrop.8347)[*] c:\\windows\\system32\\sndrec32.dll - [B]Trojan-Spy.Win32.BZub.ip[/B] (DrWEB: Trojan.Popuper)[*] \\systemroot\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]