Не могу ни как убить startdrv.
Собрать информацию не получается, при запуске любого скрипта в AVZ комп автоматически перезагружается при этом ни какой информации в лог-файле не сохраняется.
Printable View
Не могу ни как убить startdrv.
Собрать информацию не получается, при запуске любого скрипта в AVZ комп автоматически перезагружается при этом ни какой информации в лог-файле не сохраняется.
Попробуйте сделать логи, [URL="http://virusinfo.info/showthread.php?t=9279"]загрузившись в безопасном режиме[/URL] . Если получится, в дополнение сделайте еще [URL="http://virusinfo.info/showthread.php?t=10387"]дополнительные логи AVZ[/URL]
Не хочет загружатся в безопасном режиме, при появлении логон экрана сам начинает перезагружатся:?
Давим F8 при включении и не входит в меню выбора?
Попытайтесь сделать [url]http://virusinfo.info/showthread.php?t=10387[/url]
в обычном режиме.
[quote=PavelA;118255]Давим F8 при включении и не входит в меню выбора?
[/quote]
[quote=JB_;118251]Не хочет загружатся в безопасном режиме, при появлении логон экрана сам начинает перезагружатся:?[/quote]
После выбора режима загрузки(выбираю безопасный), появляется логон экран(где пользователей выбирают))) и тут комп сам перезагружается. А в нормальном режиме спокойно грузится.
[quote=PavelA;118255]Попытайтесь сделать [URL]http://virusinfo.info/showthread.php?t=10387[/URL]
в обычном режиме.[/quote]
[quote=JB_;118222]... при запуске любого скрипта в AVZ комп автоматически перезагружается ...[/quote]
Может посоветуете какую нидь прогу типа AVZ.
скрипт в авз выполнили, который написан в
[url]http://virusinfo.info/showthread.php?t=9279[/url] ?
[QUOTE=JB_;118266]После выбора режима загрузки(выбираю безопасный), появляется логон экран(где пользователей выбирают))) и тут комп сам перезагружается. А в нормальном режиме спокойно грузится.
Может посоветуете какую нидь прогу типа AVZ.[/QUOTE]
На сайте Касперского есть GetSystemInfo.
Попробуйте ее.
Или WinPFind3u [url]http://download.bleepingcomputer.com...winpfind3u.exe[/url]
Можно попробовать так:
Открыть AVZ, на вкладке "Параметры поиска" поставить обе галки "Блокировать работу rootkit" и нажать "Пуск". Если отработает нормально, сделать Файл - Исследование системы и протокол сюда.
Если не выйдет, попробовать не ставить блокировку rootkit.
Если уж и так не пойдет, то хоть просто Исследование системы должно выполниться. Да и лог HijackThis надо сделать. Хоть какая-то информация для анализа будет.
GetSystemInfo нормально отработала
А информация которую дает GetSystemInfo и hijackthis будет достаточно?
Сделайте все, что предложено, какие логи получатся, такие и давайте.
Вот что получил
Это Лог руткета?
[skip]
C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS 21.06.2007 8:39 32.75 KB Hidden from Windows API.
@JB_ да это оно самое. Ваш паразит собственной персоной.
Попробуем такой скрипт в AVZ (надеюсь, он все-таки сработает):
[code]
begin
BC_QrSvc('runtime2');
BC_QrFile('C:\windows\temp\startdrv.exe');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\windows\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\windows\temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
После этого пробуйте сделать стандартные логи по правилам.
А мне советуют Загрузиться с диска, скопировать C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS
и отправить в drweb.
А ваш скрипт он по идее должен удалить эту гадости? Просто я бы нехотел его просто так удалять, надо чтоб его добавили в антивирусную базу
Для этого там есть строчка:
[QUOTE]BC_QrSvc('runtime2');[/QUOTE]
Сейчас для полноты добавлю еще про startdrv.exe и выполняйте.
Хотя с большой вероятностью он уже давно добавлен в базы, просто вы обновили их у себя после того как он к вам проник. А поскольку это руткит, полностью обезвредить его антивирус не может.
Скрипт карантинит гада и затем удаляет. Надеюсь, что Доктор Веб его уже знает. Можно карантин в службу поддержки отправить, указав какой пароль стоит.
Один из самых популярных за последние две недели.
Релизный доктор руткита не увидит, слаб еще. А вот бетка 4.44 справится на ура, при наличии в базах.
Скрипт сработал. Вот требуемые файлы для проверки, думаю что теперь все чисто))
Да, теперь все в порядке.
Содержимое карантина AVZ пришлите по правилам, вдруг и правда свежая модификация объявилась ;)
Все чисто.
Не новый((
Drweb сказал, что он им уже знаком.
Всем спасибо за помощь:)
Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию [/b](Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\temp\\startdrv.exe - [B]Trojan-Downloader.Win32.Diehard.at[/B] (DrWEB: BackDoor.Bulknet)[*] \\systemroot\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]