startdrv

Не могу ни как убить startdrv.
Собрать информацию не получается, при запуске любого скрипта в AVZ комп автоматически перезагружается при этом ни какой информации в лог-файле не сохраняется.

Попробуйте сделать логи, [URL="http://virusinfo.info/showthread.php?t=9279"]загрузившись в безопасном режиме[/URL] . Если получится, в дополнение сделайте еще [URL="http://virusinfo.info/showthread.php?t=10387"]дополнительные логи AVZ[/URL]

Не хочет загружатся в безопасном режиме, при появлении логон экрана сам начинает перезагружатся:?

Давим F8 при включении и не входит в меню выбора?

Попытайтесь сделать [url]http://virusinfo.info/showthread.php?t=10387[/url]
в обычном режиме.

[quote=PavelA;118255]Давим F8 при включении и не входит в меню выбора?
[/quote]

[quote=JB_;118251]Не хочет загружатся в безопасном режиме, при появлении логон экрана сам начинает перезагружатся:?[/quote]
После выбора режима загрузки(выбираю безопасный), появляется логон экран(где пользователей выбирают))) и тут комп сам перезагружается. А в нормальном режиме спокойно грузится.

[quote=PavelA;118255]Попытайтесь сделать [URL]http://virusinfo.info/showthread.php?t=10387[/URL]
в обычном режиме.[/quote]
[quote=JB_;118222]... при запуске любого скрипта в AVZ комп автоматически перезагружается ...[/quote]

Может посоветуете какую нидь прогу типа AVZ.

скрипт в авз выполнили, который написан в
[url]http://virusinfo.info/showthread.php?t=9279[/url] ?

[QUOTE=JB_;118266]После выбора режима загрузки(выбираю безопасный), появляется логон экран(где пользователей выбирают))) и тут комп сам перезагружается. А в нормальном режиме спокойно грузится.

Может посоветуете какую нидь прогу типа AVZ.[/QUOTE]

На сайте Касперского есть GetSystemInfo.
Попробуйте ее.

Или WinPFind3u [url]http://download.bleepingcomputer.com...winpfind3u.exe[/url]

Можно попробовать так:
Открыть AVZ, на вкладке "Параметры поиска" поставить обе галки "Блокировать работу rootkit" и нажать "Пуск". Если отработает нормально, сделать Файл - Исследование системы и протокол сюда.
Если не выйдет, попробовать не ставить блокировку rootkit.
Если уж и так не пойдет, то хоть просто Исследование системы должно выполниться. Да и лог HijackThis надо сделать. Хоть какая-то информация для анализа будет.

GetSystemInfo нормально отработала
А информация которую дает GetSystemInfo и hijackthis будет достаточно?

Сделайте все, что предложено, какие логи получатся, такие и давайте.

Вот что получил

Это Лог руткета?
[skip]
C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS 21.06.2007 8:39 32.75 KB Hidden from Windows API.

@JB_ да это оно самое. Ваш паразит собственной персоной.

Попробуем такой скрипт в AVZ (надеюсь, он все-таки сработает):
[code]
begin
BC_QrSvc('runtime2');
BC_QrFile('C:\windows\temp\startdrv.exe');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\windows\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\windows\temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
После этого пробуйте сделать стандартные логи по правилам.

А мне советуют Загрузиться с диска, скопировать C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS
и отправить в drweb.

А ваш скрипт он по идее должен удалить эту гадости? Просто я бы нехотел его просто так удалять, надо чтоб его добавили в антивирусную базу

Для этого там есть строчка:
[QUOTE]BC_QrSvc('runtime2');[/QUOTE]
Сейчас для полноты добавлю еще про startdrv.exe и выполняйте.
Хотя с большой вероятностью он уже давно добавлен в базы, просто вы обновили их у себя после того как он к вам проник. А поскольку это руткит, полностью обезвредить его антивирус не может.

Скрипт карантинит гада и затем удаляет. Надеюсь, что Доктор Веб его уже знает. Можно карантин в службу поддержки отправить, указав какой пароль стоит.
Один из самых популярных за последние две недели.

Релизный доктор руткита не увидит, слаб еще. А вот бетка 4.44 справится на ура, при наличии в базах.

Скрипт сработал. Вот требуемые файлы для проверки, думаю что теперь все чисто))

Да, теперь все в порядке.
Содержимое карантина AVZ пришлите по правилам, вдруг и правда свежая модификация объявилась ;)