Показано с 1 по 14 из 14.

Проблема со startdrv.exe (заявка № 10921)

  1. #1
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    14
    Вес репутации
    39

    Exclamation Проблема со startdrv.exe

    Ошибка на стадии запуска скрипта в avz. При его выполнении в обычном режиме avz зависает через несколько секунд. При запуске в безопасном режиме сканирование файлов завершается, но после этого появляется синий экран смерти с сообщением об ошибке в fastfat.sys (Adress f772f640 base at f772f000, DateStamp 41107eb7). Technical information: STOP:0x0000008E ... дальше не записывал.
    Файл startdrv.exe в папке c:\windows\temp воскрешается каждый раз, обнаруживается какая-то зараза в ip6fw.sys (c:\windows\system32), также какой-то процесс (FW????.exe, извините, не помню точно...) съедает около 95% процессорного времени.
    ОС: XP Home.
    Что с этим можно сделать, помогите, пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Сделайте лог как написано здесь.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Anton_adm
    Что с этим можно сделать, помогите, пожалуйста.
    "Пуск"=>"Выполнить"
    Команду chkdsk c: /f
    Перезагрузиться и дождаться окончания проверки при загрузке.

    Попробывать ещё раз выполнить логи по правилам.

  5. #4
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    14
    Вес репутации
    39
    При выполнении исследования системы (пункт 2) через несколько секунд работы вылетело то же сообщение про fastfat.sys, поэтому лог сделать не удалось.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    давайте попробуем почти в слепую

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    и попробуйте сделать логи и в обычно,и в безопасном режиме(в каком получится)

  7. #6
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    14
    Вес репутации
    39
    Доходит до пункта 1.2. Выдает:
    Функция NTAlertResumeThread (0C) перехвачена (8062E4EC->852E4D78)6 перехватчик не определен.
    >>> Функция восстановлена успешно!
    >>> Код перехватчка нейтрализован.
    Дальше то же про функции NtAllocateVirtualMemory (11) и NtConnectPort (1F) (только значения в скобках другие).
    После этого avz зависает, другие приложения продолжают работать.
    В данный момент в системе работает Norton Internet Security. Раньше был установлен AVG.
    Последний раз редактировалось Anton_adm; 10.07.2007 в 16:19.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    попробуй выполнить скрипт Muzzle в безопасном режиме.
    Перед этим в AVZ -- Файл -- Станд. скрипты -- п.6 -- Выполнить.

    Диск на ошибки проверил?

    Можно взять GetSystemInfo с сайта Касперского, сделать лог и прислать сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    14
    Вес репутации
    39

    Скрипт выполнился в безопасном режиме

    Проверку делал, ошибок не было. Выполнил скрипт п.6. Скачал занова avz. Создал файл startdrv.exe нулевого размера в том же месте, где его создавал вирус, с атрибутом "только для чтения". Выполнил скрипт проверки и сбора информации. На этот раз успешно. Высылаю лог. Хайджеком не успел, рабочий день уже кончился, начальника задерживаю
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Нужен просто доп. лог.
    См. http://virusinfo.info/showthread.php?t=10387
    Делается быстро и поможет разобраться.

    Весь AVG надо деинсталлировать. Он может конфликтовать с Нортоном.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    14
    Вес репутации
    39
    AVG снес, также снес и Нортона, поставил Panda, которая нашла пару вирусов (кажется, не относящихся к данной проблеме). Также закачал обновления Windows (благо лицензионная) Нулевой Startdrv.exe, что создавал удалил, больше не появляется. Система, правда, грузится долго, но вроде бы пока вирус перестал беспокоить.
    Вчера запаниковал: в Инет отправилось более 200 непрошенных Мбайт, подозрения вызвал процесс WebProxy.exe, в инете нашел, что эта штучка от Панды. Так ли это? А то встречались и мнения, что это троян, используемый для выхода в Инет через зараженный компьютер.
    Сделал лог (в обычном режиме, не в безопасном), высылаю на всякий случай.
    Вложения Вложения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\COMFiltr.sys','');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll');  
     BC_ImportDeletedList;
     BC_ImportQuarantineList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  13. #12
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    14
    Вес репутации
    39
    На стадии поиска руткитов в окне лога пролетали сообщения, мол, ошибка доступа к файлу (или копирования файла), прочитать толком не успел, т.к. скрипт дошел до перезагрузки Win. Высылаю файл.
    Последний раз редактировалось Anton_adm; 18.07.2007 в 07:47.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Уберите файл карантина из сообщения,его нужно залить по ссылке
    http://virusinfo.info/upload_virus.php?tid=10921
    читайте внимательно правила!

    Добавлено через 1 час 31 минуту
    Файлы arm32.dll и COMFiltr.sys в карантин не попали,первый явно зловред,второй должен быть легальнымно проверить не помешает,попробуйте поискать их с помощью AVZ--сервис --поиск файлов на диске ,если найдутся то поместите их в карантин и пришлите по правилам.
    И сделайте логи (все три).
    Последний раз редактировалось Muzzle; 18.07.2007 в 08:53. Причина: Добавлено сообщение

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Anton_adm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблема c startdrv
      От AndSun в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 17.11.2009, 18:01
    2. startdrv.exe
      От sys_drive в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:47
    3. Проблема с вирусом startdrv.exe!!!!
      От Sh@m@n в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:47
    4. проблема со startdrv.exe
      От DENIS270880 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:03
    5. startdrv.exe
      От глеб в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.12.2007, 02:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01369 seconds with 17 queries