Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

AVZ конфликтует с win2K (заявка № 10494)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    42

    Exclamation AVZ конфликтует с win2K

    Испытываю проблемы с удалением вируса Trojan-Downloader.Win32.Agent.brk

    Сделал по инструкции:

    1. Перегрузился в безопасный режим. Запустил cureit.exe Он нашел вирус и удалил
    2. перегрузился в нормальный режим. позакрывал все, кроме ИЕ. Запустил AVZ, выбрал задание и нажал старт. через несколько секунд вылетеле синий экран.

    Повторный эксперимент привел к тому же результату. В безопасном режиме тоже самое.

    Сейчас из всех проявлений вируса обнаруживается только создание при загрузке компа файла startdrv.exe

    Избавиться от этого не получается и запустить AVZ, чтобы логи сюда запостить, тоже не получается. Что посоветуете (кроме как переустановить систему)?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Попробуйте сделать лог в безопасном режиме, как описано здесь.
    (Если будет вылетать при запуске скрипта #1, пропустите этот шаг).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    42
    Попытался. Постоянно синяя смерть вылетает. Может можно вручную все поправить. Я понимаю, что startdrv.exe генерируется каким-то зараженным виндусячим процессом. Или это не так?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    551
    Скачайте Winpfind - http://download.bleepingcomputer.com...winpfind3u.exe и попробуйте сделать лог с помощью него.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Постоянно синяя смерть вылетает.
    На синем экране упоминается какой-либо файл?

    В безопасном режиме запустите regedit, раскройте ветку
    HKLM\System\CurrentControlSet\Services.
    Ключи следующего уровня соответствуют службам и драйверам Windows.
    Если среди них найдутся runtime, runtime2, xpdt, xpdx - удалите. Затем перейдите на верхний уровень ("Мой компьютер") и запустите поиск по образцу startdrv.exe, удалите все ссылки на этот файл, и сам файл в папке Windows\Temp.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    42
    Цитата Сообщение от RiC Посмотреть сообщение
    Скачайте Winpfind - http://download.bleepingcomputer.com...winpfind3u.exe и попробуйте сделать лог с помощью него.
    Скачал-запустил. Вижу очень много опций и кнопок. Не знаю, какую надо нажать, чтобы сделать лог.

    На синем экране упоминается какой-либо файл?
    Нет, никакого конкретно файла не упоминается.

    В безопасном режиме запустите regedit, раскройте ветку
    HKLM\System\CurrentControlSet\Services.
    Ключи следующего уровня соответствуют службам и драйверам Windows.
    Если среди них найдутся runtime, runtime2, xpdt, xpdx - удалите. Затем перейдите на верхний уровень ("Мой компьютер") и запустите поиск по образцу startdrv.exe, удалите все ссылки на этот файл, и сам файл в папке Windows\Temp.
    Сделал. Из ключей нашел только runtime
    Его удалил. Ссылки на startdrv.exe и его самого удалил. Перегрузился: без результата - startdrv.exe снова живее всех живых.

    Еще у меня есть ключ RUN у Explorer. Он ссылается на файл, которого нет - csrss.exe (файл был удален антивирусом). Но я на одном компе уже завалил систему, когда такой же ключ грохнул. Поэтому сейчас его не рискую трогать. Или вес таки сейчас это уже безопасно?

    Еще вопрос: какой механизим воспроизводства у обсуждаемого вируса? Откуда он берет этот свой startdrv.exe? Ведь он же и без инета его восстанавливает! Может он закэширован или прописан в буте?

    Задавал поиск по диску на предмет изменнных файлов: ничего подозрительного не нашел. Конечно, я допускаю, что вирус мог поправить дату измененного файла, но раньше подобные вирусы этим не занимались.

    Еще одна мысль на тему. Я задал поиск по диску, чтобы найти файл со сигнатурой startdrv.exe . Нашел только в папке HISTORy защищенной файл index.dat Он может быть причиной зла?

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390
    Можно поступить проще - запустить AVZ, там Файл/Исследование системы, поставить все птички и нажать пуск. Он предложит сохранить протокол исследования, который можно приаттачить сюда. Аналогично можно запустить сканирования без подавление перехватов - просто нажать "Пуск" в AVZ, лог сохранить в текстовый файл и прицепить сюда.

  9. #8
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    42
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Можно поступить проще - запустить AVZ, там Файл/Исследование системы, поставить все птички и нажать пуск. Он предложит сохранить протокол исследования, который можно приаттачить сюда. Аналогично можно запустить сканирования без подавление перехватов - просто нажать "Пуск" в AVZ, лог сохранить в текстовый файл и прицепить сюда.
    Да я бы срадостью запустил, но AVZ зависает. Тоько что убедился в этом в очередной раз. Даром, что чуть дольше проработал, чем обычно.


    На синем экране упоминается какой-либо файл?
    Bratez, оказывается есть там упоминание файла - fastfat.sys

    Я его посмотрел - дата и размер совпадают с файлом, который шел в поставке сервиспака.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    fastfat.sys сам по себе ни при чем, я такое встречал уже...
    Давайте попробуем такой скрипт карантина вслепую:
    Код:
    begin
    BC_QrSvc('ip6fw');
    BC_QrSvc('runtime');
    BC_QrSvc('runtime2');
    BC_QrSvc('xpdt');
    BC_QrSvc('xpdx');
    BC_QrSvc('NDnet1');
    BC_Activate;
    Rebootwindows(true);
    end.
    После перезагрузки пришлите все, что попадет в карантин, по правилам.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    42
    После перезагрузки пришлите все, что попадет в карантин, по правилам.
    Сделал/прислал. Сначала забыл пароль добавить. Второй архив отправил с паролем, но пока их вэтйо ветке не вижу.Может подождать надо?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    В карантин ничего не попало, только два *.ini, из содержания которых
    вытекает подозрение на два из вышеупомянутых руткитов.
    Выполните такой скрипт:
    Код:
    begin
    BC_DeleteSvc('runtime2');
    BC_DeleteSvc('NDnet1');
    BC_DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
    BC_DeleteFile('C:\WINNT\system32\ksys.sys');
    BC_Activate;
    Rebootwindows(true);
    end.
    и у меня ооочень большие надежды, что после перезагрузки вам таки удастся сделать стандартные логи
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    42
    и у меня ооочень большие надежды, что после перезагрузки вам таки удастся сделать стандартные логи
    Оле-оле! Так и вышло. Логи и карантин закачал.


    ВОПРОС: можно вручную прибить ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run ?

    virusinfo_cure.zip Прикреплять запрещено правилами !!!
    Вложения Вложения
    Последний раз редактировалось drongo; 20.06.2007 в 12:26. Причина: Файлы прикреплял

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    69
    логи прикрепите к вашему сообщению

  15. #14
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    42
    закачал

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    1. Очистите корзину, там копии вашего startdrv.exe.

    2. Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\csrss.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    3. После перезагрузки новый карантин пришлите по правилам.
    I am not young enough to know everything...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    69
    выложите лог hijackthis и удалите virusinfo_cure.zip из сообщения

  18. #17
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    42
    выложите лог hijackthis
    После перезагрузки новый карантин пришлите по правилам.
    Меня добрый модератор отругал уже за нарушение правил. Я так и не разобрался, что и как надо прикреплять. У меня есть сейчас карантин (два файла) и hijackthis.log . Их можно прямо к сообщению прикреплять? Зиповать и паролить надо?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    HijackThis.log - прикрепить к сообщению.
    Карантин, один, последний - отправить через эту форму.
    I am not young enough to know everything...

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    974
    вот эти надо AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip), так уж сложно ? они уже в зипе и запаролены ( повторно не надо зиповать )и hijackthis.log который не надо зиповать, остаётся только присоединить. Читайте внимательней правила .

  21. #20
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    42
    Цитата Сообщение от Bratez Посмотреть сообщение
    HijackThis.log - прикрепить к сообщению.
    Карантин, один, последний - отправить через эту форму.
    сделал. Карантин пишет про csrss.exe , а его в указанной папке не нахожу. Это с чем связано?
    Вложения Вложения

  • Уважаемый(ая) Сергей Ш-в, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Конфликтует ли Outpost Firewall с Dr.Web?
      От 31mila31 в разделе Общая сетевая безопасность
      Ответов: 9
      Последнее сообщение: 04.09.2009, 12:54
    2. Win2k спонтанно ребутится
      От Eosfor в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.02.2009, 18:13
    3. Ответов: 22
      Последнее сообщение: 29.04.2008, 08:17
    4. Win2k появился доступ к папкам WINNT2
      От temichl в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 18.06.2007, 13:30
    5. Ответов: 3
      Последнее сообщение: 28.01.2006, 11:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00028 seconds with 17 queries