Startdvr.exe

Где то подцепил его...юзает трафик постоянно. еще каспер ругался на wjview.exe но может это что то другой. Помогите разобраться и излечиться :) Заранее спс.

не могу прикреписть логи...что делать ?
не дает загружать

Кнопочку Загрузить не забыли нажать?

Результат загрузки
Эта страница предназначена только для загрузки подозрительных файлов которые Вас попросили прислать.
Логи нужно прикреплять к сообщениям на форуме.
Спасибо что читаете правила и делаете всё так как Вас попросили, а не как попало.

а вложения просто не открывает

Нажимаем "Ответить", потом внизу "Управление вложениями", кнопками "Обзор..." выбираем файлы, жмем "Загрузить". Так делали?

оказывается все было просто: Blocked Pop-Up :)

Выполните скрипт в AVZ:
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrSvc('ctl_w32');
BC_QrSvc('runtime');
BC_DeleteSvc('ctl_w32');
BC_DeleteSvc('runtime');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Выполните еще один скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sM4qAH4Y.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\wmedia32.exe','');
DeleteFile('C:\WINDOWS\system32\wmedia32.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\sM4qAH4Y.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Поищите вручную файл wjview.exe и добавьте в карантин.
Пришлите карантин согласно приложению 3 правил.
Удалите все задания в Планировщике.
Сделайте новые логи.

wjview не нашел...скрипты выполнил...делаю новые логи, и вот хотел еще спросить, по логам не видно нет ли еще какой бяки?

Выкладываю новые логи...пока не могу проверить опаздываю :( завтра отпишусь. Спасибо

Пофиксьте:
[code]O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
O9 - Extra button: (no name) - DctMapping - (no file)[/code]
Выполните скрипт:
[code]begin
SysCleanAddFile('wjview.exe');
SysCleanAddFile('wmedia32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'EbatesMoeMoneyMaker');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WMedia32');
DeleteFile('wmedia32.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки повторите лог hijackthis.

Вот эту штуку удалите:
[quote]C:\Program Files\NavExcel\NavHelper\v2.0.4c\v2.0.4c.cab/{CAB}/NHelper.htm >>>>> Spy.NavExcel [/quote]

Посмотрите, что вам нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule ()
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
[/code]
Лишнее отключим.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Карантин вы так и не прислали. Его надо загрузить через эту форму:
[url]http://virusinfo.info/upload_virus.php?tid=14973[/url]
(см. приложение 3 правил).

хайджек после фикса...скрипт забыл...сек
карантин показывает что пустой...

Для пущей стерильности еще это можно пофиксить:
[code]
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]

а список служб я не знаю что за что отвечает, а следовательно не знаю что мне нужно...подскажите позжалуйста за что они все отвечают

В принципе можно безболезненно отключить все.
Вот таким скриптом:
[code]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
[COLOR=red]RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);[/COLOR]
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
[COLOR=seagreen]RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);[/COLOR]
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Если есть локалка с общим доступом к файлам и принтерам, уберите красную строчку. Если автозапуск CD жалко - уберите зеленую ;).

Огромное спасибо за помощь и советы.
Карантин выслал. вот хайджек после всех указанных фиксов и скриптов...
С уважением, Moroes ;)

В логе все нормально.

Если что, заходите еще ;).

Спасибо за приглашение :) на днях заскочу еще...у меня дома локалка, вот на втором компе видимо все еще хуже...буду рад если с ним тоже поможете ;)

С уважением, Moroes

Минутку! В карантине Ip6Fw.sys - [b]Rootkit.Win32.Agent.pr[/b]!
Мы с вами его не удаляли, хотя из логов он испарился...
Сейчас напишу скрипт.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Вот, выполните:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Будет время - сделайте еще раз полный комплект логов для успокоения души ;)

Еще раз спс. сприптик сделал. завтра приду сделаю еще раз все логи и в эту же тему выложу.

С уважением, Moroes

Вот финальные логи...что то нашлось еще (после обновления АВЗ)