Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

AVZ конфликтует с win2K (заявка № 10494)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    62

    Exclamation AVZ конфликтует с win2K

    Испытываю проблемы с удалением вируса Trojan-Downloader.Win32.Agent.brk

    Сделал по инструкции:

    1. Перегрузился в безопасный режим. Запустил cureit.exe Он нашел вирус и удалил
    2. перегрузился в нормальный режим. позакрывал все, кроме ИЕ. Запустил AVZ, выбрал задание и нажал старт. через несколько секунд вылетеле синий экран.

    Повторный эксперимент привел к тому же результату. В безопасном режиме тоже самое.

    Сейчас из всех проявлений вируса обнаруживается только создание при загрузке компа файла startdrv.exe

    Избавиться от этого не получается и запустить AVZ, чтобы логи сюда запостить, тоже не получается. Что посоветуете (кроме как переустановить систему)?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Попробуйте сделать лог в безопасном режиме, как описано здесь.
    (Если будет вылетать при запуске скрипта #1, пропустите этот шаг).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    62
    Попытался. Постоянно синяя смерть вылетает. Может можно вручную все поправить. Я понимаю, что startdrv.exe генерируется каким-то зараженным виндусячим процессом. Или это не так?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Скачайте Winpfind - http://download.bleepingcomputer.com...winpfind3u.exe и попробуйте сделать лог с помощью него.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Постоянно синяя смерть вылетает.
    На синем экране упоминается какой-либо файл?

    В безопасном режиме запустите regedit, раскройте ветку
    HKLM\System\CurrentControlSet\Services.
    Ключи следующего уровня соответствуют службам и драйверам Windows.
    Если среди них найдутся runtime, runtime2, xpdt, xpdx - удалите. Затем перейдите на верхний уровень ("Мой компьютер") и запустите поиск по образцу startdrv.exe, удалите все ссылки на этот файл, и сам файл в папке Windows\Temp.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    62
    Цитата Сообщение от RiC Посмотреть сообщение
    Скачайте Winpfind - http://download.bleepingcomputer.com...winpfind3u.exe и попробуйте сделать лог с помощью него.
    Скачал-запустил. Вижу очень много опций и кнопок. Не знаю, какую надо нажать, чтобы сделать лог.

    На синем экране упоминается какой-либо файл?
    Нет, никакого конкретно файла не упоминается.

    В безопасном режиме запустите regedit, раскройте ветку
    HKLM\System\CurrentControlSet\Services.
    Ключи следующего уровня соответствуют службам и драйверам Windows.
    Если среди них найдутся runtime, runtime2, xpdt, xpdx - удалите. Затем перейдите на верхний уровень ("Мой компьютер") и запустите поиск по образцу startdrv.exe, удалите все ссылки на этот файл, и сам файл в папке Windows\Temp.
    Сделал. Из ключей нашел только runtime
    Его удалил. Ссылки на startdrv.exe и его самого удалил. Перегрузился: без результата - startdrv.exe снова живее всех живых.

    Еще у меня есть ключ RUN у Explorer. Он ссылается на файл, которого нет - csrss.exe (файл был удален антивирусом). Но я на одном компе уже завалил систему, когда такой же ключ грохнул. Поэтому сейчас его не рискую трогать. Или вес таки сейчас это уже безопасно?

    Еще вопрос: какой механизим воспроизводства у обсуждаемого вируса? Откуда он берет этот свой startdrv.exe? Ведь он же и без инета его восстанавливает! Может он закэширован или прописан в буте?

    Задавал поиск по диску на предмет изменнных файлов: ничего подозрительного не нашел. Конечно, я допускаю, что вирус мог поправить дату измененного файла, но раньше подобные вирусы этим не занимались.

    Еще одна мысль на тему. Я задал поиск по диску, чтобы найти файл со сигнатурой startdrv.exe . Нашел только в папке HISTORy защищенной файл index.dat Он может быть причиной зла?

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Можно поступить проще - запустить AVZ, там Файл/Исследование системы, поставить все птички и нажать пуск. Он предложит сохранить протокол исследования, который можно приаттачить сюда. Аналогично можно запустить сканирования без подавление перехватов - просто нажать "Пуск" в AVZ, лог сохранить в текстовый файл и прицепить сюда.

  9. #8
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    62
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Можно поступить проще - запустить AVZ, там Файл/Исследование системы, поставить все птички и нажать пуск. Он предложит сохранить протокол исследования, который можно приаттачить сюда. Аналогично можно запустить сканирования без подавление перехватов - просто нажать "Пуск" в AVZ, лог сохранить в текстовый файл и прицепить сюда.
    Да я бы срадостью запустил, но AVZ зависает. Тоько что убедился в этом в очередной раз. Даром, что чуть дольше проработал, чем обычно.


    На синем экране упоминается какой-либо файл?
    Bratez, оказывается есть там упоминание файла - fastfat.sys

    Я его посмотрел - дата и размер совпадают с файлом, который шел в поставке сервиспака.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    fastfat.sys сам по себе ни при чем, я такое встречал уже...
    Давайте попробуем такой скрипт карантина вслепую:
    Код:
    begin
    BC_QrSvc('ip6fw');
    BC_QrSvc('runtime');
    BC_QrSvc('runtime2');
    BC_QrSvc('xpdt');
    BC_QrSvc('xpdx');
    BC_QrSvc('NDnet1');
    BC_Activate;
    Rebootwindows(true);
    end.
    После перезагрузки пришлите все, что попадет в карантин, по правилам.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    62
    После перезагрузки пришлите все, что попадет в карантин, по правилам.
    Сделал/прислал. Сначала забыл пароль добавить. Второй архив отправил с паролем, но пока их вэтйо ветке не вижу.Может подождать надо?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В карантин ничего не попало, только два *.ini, из содержания которых
    вытекает подозрение на два из вышеупомянутых руткитов.
    Выполните такой скрипт:
    Код:
    begin
    BC_DeleteSvc('runtime2');
    BC_DeleteSvc('NDnet1');
    BC_DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
    BC_DeleteFile('C:\WINNT\system32\ksys.sys');
    BC_Activate;
    Rebootwindows(true);
    end.
    и у меня ооочень большие надежды, что после перезагрузки вам таки удастся сделать стандартные логи
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    62
    и у меня ооочень большие надежды, что после перезагрузки вам таки удастся сделать стандартные логи
    Оле-оле! Так и вышло. Логи и карантин закачал.


    ВОПРОС: можно вручную прибить ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run ?

    virusinfo_cure.zip Прикреплять запрещено правилами !!!
    Вложения Вложения
    Последний раз редактировалось drongo; 20.06.2007 в 13:26. Причина: Файлы прикреплял

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    логи прикрепите к вашему сообщению

  15. #14
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    62
    закачал

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Очистите корзину, там копии вашего startdrv.exe.

    2. Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\csrss.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    3. После перезагрузки новый карантин пришлите по правилам.
    I am not young enough to know everything...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    выложите лог hijackthis и удалите virusinfo_cure.zip из сообщения

  18. #17
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    62
    выложите лог hijackthis
    После перезагрузки новый карантин пришлите по правилам.
    Меня добрый модератор отругал уже за нарушение правил. Я так и не разобрался, что и как надо прикреплять. У меня есть сейчас карантин (два файла) и hijackthis.log . Их можно прямо к сообщению прикреплять? Зиповать и паролить надо?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    HijackThis.log - прикрепить к сообщению.
    Карантин, один, последний - отправить через эту форму.
    I am not young enough to know everything...

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    вот эти надо AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip), так уж сложно ? они уже в зипе и запаролены ( повторно не надо зиповать )и hijackthis.log который не надо зиповать, остаётся только присоединить. Читайте внимательней правила .

  21. #20
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    HijackThis.log - прикрепить к сообщению.
    Карантин, один, последний - отправить через эту форму.
    сделал. Карантин пишет про csrss.exe , а его в указанной папке не нахожу. Это с чем связано?
    Вложения Вложения

  • Уважаемый(ая) Сергей Ш-в, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Конфликтует ли Outpost Firewall с Dr.Web?
      От 31mila31 в разделе Общая сетевая безопасность
      Ответов: 9
      Последнее сообщение: 04.09.2009, 13:54
    2. Win2k спонтанно ребутится
      От Eosfor в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.02.2009, 18:13
    3. Ответов: 22
      Последнее сообщение: 29.04.2008, 09:17
    4. Win2k появился доступ к папкам WINNT2
      От temichl в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 18.06.2007, 14:30
    5. Ответов: 3
      Последнее сообщение: 28.01.2006, 11:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01531 seconds with 20 queries