ошибка Startdrv.exe

Такая проблема. при старте система выдает сообщение Startdrv.exe обнаружена ошибка,приложение будет закрыто и т.д. система продолжает работать вроде без сбоев но Spyware Doctor определяет C:\Windows\temp\startdrv.exe как Rootkit.Agent.EY ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Current Version\Run#startdrv.
Лечение не помогает после перезагрузки все востанавливается.
Nod 32 определяет его как Win32\Trojan Donwloader.Agent.NTU попытки удаления на 90% успешны но после перезагрузки все повторяется.

очень надеюсь на помощь систему сносить не хочется машина рабочая
много всяких полезностей.
Логи прилагаю.

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wf2kcpl.dll','');
QuarantineFile('C:\WINDOWS\system32\vmware-ufad.exe','');
QuarantineFile('C:\WINDOWS\system32\update290.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
SetServiceStart('protect', 4);
DeleteService('protect');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\update290.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
BC_DeleteSvc('protect');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Скрипт выполнен
карантин сейчас пытаюсь отправить что-то тормозит

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

карантин отправлен

в карантине только ...
C:\WINDOWS\system32\wf2kcpl.dll - он чистый ...
повторите логи ....

Теперь при перезагрузке ошибку не выдает.
После прогона AVZ перезагрузка с включенным Spyware Doctor показала 41 ключ реестра с инфекцией [B]Rootkit.Agent.EY но [/B]с уровнем угорозы LOW после исправления и перезагрузки показал чисто. Вот новые логи посмотрите может что осталось ?

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\vmware-ufad.exe,
O2 - BHO: (no name) - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file)
O2 - BHO: (no name) - {B5AF0562-94F3-42BD-F434-2604812C297D} - (no file)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file)
O22 - SharedTaskScheduler: JGhjddf9dtj - {B5AF0562-94F3-42BD-F434-2604812C297D} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Rrgm50');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('ctl_w32');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.

А вот такого у меня нет. Фиксить без него???
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

Да если нет то ничего страшного, фиксите то что есть.

[quote=Nadyn;188730]А вот такого у меня нет. Фиксить без него???
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/quote]
В логе HijackThis в сообщении #5 оно есть точно ;)

[quote=Bratez;188739]В логе HijackThis в сообщении #5 оно есть точно ;)[/quote]
наверно потому-что потом загрузился с включеным Spyware Doctor

[B]"После прогона AVZ перезагрузка с включенным Spyware Doctor показала 41 ключ реестра с инфекцией Rootkit.Agent.EY но с уровнем угорозы LOW после исправления и перезагрузки показал чисто. "[/B]

Spyware Doctor - удалите ... толку 0 , а лечению мешает ...
сделайте логи начиная с пункта 10 правил ...

Вот последние логи .
и еще вот это -
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\cpadvai.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:\WINDOWS\system32\cpadvai.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\cpadvai.dll)
У меня установлен клавиатурный монитор Punto Switcher может это на него ругается . я его выключаю но может он до конца не выгружается

Если не трудно отпишитесь что там в логах

cpadvai.dll - от криптопро ...
пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\vmware-ufad.exe,
O2 - BHO: (no name) - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file)
O2 - BHO: (no name) - {B5AF0562-94F3-42BD-F434-2604812C297D} - (no file)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file)
O22 - SharedTaskScheduler: JGhjddf9dtj - {B5AF0562-94F3-42BD-F434-2604812C297D} - (no file)
[/code]
повторите hijackthis

когда проганяю AVZ я все выгружаю, все на что ума хватает Spyware Doctor тоже .
Spyware Doctor находит то мимо чего Nod, Norton, Макафи и прочии прошли мимо и не увидели пока их мордой не ткнули. К сожалению Касперского у меня нет!!

Spyware Doctor - обычно находит то чего и нет вообще ;)

[B]Что фиксить у себя я вижу только вот это !!!!![/B]
[B]смотрите Log.txt[/B]

Лучше уж пусть находит то чего нет чем не найдет то что есть

[QUOTE=Nadyn;188763]Лучше уж пусть находит то чего нет чем не найдет то что есть[/QUOTE]
против серьезных угроз - бесполезен 100% ...
в последнем логе действительно чисто ...

А никто и не говорит что он от серьезных угроз тем более у меня стоик кастрированый с Googla но всякую шушеру с нета вырубает

[size="1"][color="#666686"][B][I]Добавлено через 54 секунды[/I][/B][/color][/size]

Всем кто помог огромный респект:D

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]