Испытываю проблемы с удалением вируса Trojan-Downloader.Win32.Agent.brk
Сделал по инструкции:
1. Перегрузился в безопасный режим. Запустил cureit.exe Он нашел вирус и удалил
2. перегрузился в нормальный режим. позакрывал все, кроме ИЕ. Запустил AVZ, выбрал задание и нажал старт. через несколько секунд вылетеле синий экран.
Повторный эксперимент привел к тому же результату. В безопасном режиме тоже самое.
Сейчас из всех проявлений вируса обнаруживается только создание при загрузке компа файла startdrv.exe
Избавиться от этого не получается и запустить AVZ, чтобы логи сюда запостить, тоже не получается. Что посоветуете (кроме как переустановить систему)?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Попытался. Постоянно синяя смерть вылетает. Может можно вручную все поправить. Я понимаю, что startdrv.exe генерируется каким-то зараженным виндусячим процессом. Или это не так?
В безопасном режиме запустите regedit, раскройте ветку
HKLM\System\CurrentControlSet\Services.
Ключи следующего уровня соответствуют службам и драйверам Windows.
Если среди них найдутся runtime, runtime2, xpdt, xpdx - удалите. Затем перейдите на верхний уровень ("Мой компьютер") и запустите поиск по образцу startdrv.exe, удалите все ссылки на этот файл, и сам файл в папке Windows\Temp.
Скачал-запустил. Вижу очень много опций и кнопок. Не знаю, какую надо нажать, чтобы сделать лог.
На синем экране упоминается какой-либо файл?
Нет, никакого конкретно файла не упоминается.
В безопасном режиме запустите regedit, раскройте ветку
HKLM\System\CurrentControlSet\Services.
Ключи следующего уровня соответствуют службам и драйверам Windows.
Если среди них найдутся runtime, runtime2, xpdt, xpdx - удалите. Затем перейдите на верхний уровень ("Мой компьютер") и запустите поиск по образцу startdrv.exe, удалите все ссылки на этот файл, и сам файл в папке Windows\Temp.
Сделал. Из ключей нашел только runtime
Его удалил. Ссылки на startdrv.exe и его самого удалил. Перегрузился: без результата - startdrv.exe снова живее всех живых.
Еще у меня есть ключ RUN у Explorer. Он ссылается на файл, которого нет - csrss.exe (файл был удален антивирусом). Но я на одном компе уже завалил систему, когда такой же ключ грохнул. Поэтому сейчас его не рискую трогать. Или вес таки сейчас это уже безопасно?
Еще вопрос: какой механизим воспроизводства у обсуждаемого вируса? Откуда он берет этот свой startdrv.exe? Ведь он же и без инета его восстанавливает! Может он закэширован или прописан в буте?
Задавал поиск по диску на предмет изменнных файлов: ничего подозрительного не нашел. Конечно, я допускаю, что вирус мог поправить дату измененного файла, но раньше подобные вирусы этим не занимались.
Еще одна мысль на тему. Я задал поиск по диску, чтобы найти файл со сигнатурой startdrv.exe . Нашел только в папке HISTORy защищенной файл index.dat Он может быть причиной зла?
Можно поступить проще - запустить AVZ, там Файл/Исследование системы, поставить все птички и нажать пуск. Он предложит сохранить протокол исследования, который можно приаттачить сюда. Аналогично можно запустить сканирования без подавление перехватов - просто нажать "Пуск" в AVZ, лог сохранить в текстовый файл и прицепить сюда.
Можно поступить проще - запустить AVZ, там Файл/Исследование системы, поставить все птички и нажать пуск. Он предложит сохранить протокол исследования, который можно приаттачить сюда. Аналогично можно запустить сканирования без подавление перехватов - просто нажать "Пуск" в AVZ, лог сохранить в текстовый файл и прицепить сюда.
Да я бы срадостью запустил, но AVZ зависает. Тоько что убедился в этом в очередной раз. Даром, что чуть дольше проработал, чем обычно.
На синем экране упоминается какой-либо файл?
Bratez, оказывается есть там упоминание файла - fastfat.sys
Я его посмотрел - дата и размер совпадают с файлом, который шел в поставке сервиспака.
После перезагрузки новый карантин пришлите по правилам.
Меня добрый модератор отругал уже за нарушение правил. Я так и не разобрался, что и как надо прикреплять. У меня есть сейчас карантин (два файла) и hijackthis.log . Их можно прямо к сообщению прикреплять? Зиповать и паролить надо?
вот эти надо AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip), так уж сложно ? они уже в зипе и запаролены ( повторно не надо зиповать )и hijackthis.log который не надо зиповать, остаётся только присоединить. Читайте внимательней правила .
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: