проблема со startdrv.exe

Printable View

06.12.2007, 00:32
DENIS270880

Вложений: 3

проблема со startdrv.exe

Проблема с данным файлом. После лечения компа от троянов перестали открываться локальные диски - предлогалось выбрать программу для открытия файла (файл С:\ и т.д.). Проводником диски открывались, но не отображались скрытые файлы и папки приустановке галочки на данной опции. Подолбался с реестром - эту проблему решил. Теперь диски открываются, скрытые ф. и п. открываются. Но при каждой загрузке ругается что не может загрузить - startdrv.exe. Поиск нашёл такой файл только в C:\WINDOWS\TEMP\. При удалении файл появляется снова.
06.12.2007, 00:52
V_Bond

пофиксите ...
[code]
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('\SystemRoot\system32\drivers\ctl_w32.sys','');
BC_DeleteFile('\SystemRoot\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('ctl_w32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]пришлите карантин согласно приложения 3 правил ...
повторите логи ...
06.12.2007, 23:09
DENIS270880

Вложений: 3

cпасибо!
всё сделал как вы сказали - проблема исчезла. надеюсь навсегда
на всякий случай отправляю карантин и логи... вдруг ещё что-то посоветуете сделать...
в любом случан плиз напиши что-нибудь)))
ещё раз спасибо!
06.12.2007, 23:12
rubin

Пофиксьте:
[code]O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code]
Не перезагружаясь, выполните скрипт:
[code]begin
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите лог hijackthis
06.12.2007, 23:13
V_Bond

неплохо бы с этим разобраться ...

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
06.12.2007, 23:24
DENIS270880

Вложений: 1

сделал
06.12.2007, 23:26
rubin

Чисто, читайте пост [b]V_Bond[/b]
06.12.2007, 23:29
DENIS270880

спасибо!
разобраться бы не плохо было...
вроде всё стандартно стояло - ничего нигде не перестраивал...
06.12.2007, 23:30
V_Bond

если что-то не используется ...лучше закрыть ...
06.12.2007, 23:31
DENIS270880

ок
спасибо ещё раз
пошёл обмывать успешный вечер)))
22.02.2009, 03:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ctl_w32.sys - [B]Rootkit.Win32.Agent.pq[/B] (DrWEB: Trojan.NtRootKit.496)[*] c:\\windows\\temp\\startdrv.exe - [B]Trojan.Win32.Agent.dfa[/B] (DrWEB: BackDoor.Bulknet.105)[/LIST][/LIST]