Junior Member
Вес репутации
61
startdrv.exe и runtime2.sys
Каждый день при загрузке Nod ругается на файл c:\windows\temp\startdrv.exe
удаляет
а на следующий день снова
AVZ находит еще процесс runtime2.sys
но это уже все в логах
P.S. Сразу прикрепляю карантин AVZ (файл у вас сохранился как 070827_083313_virus_46d2d299ba4a0.zip)
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
сейчас посмотрим
1. Отключиться от интеренета и отключить обязательно ваш нод32
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINDOWS\AUTOLO~1\AL2DLL.dll (file missing)
O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINDOWS\AUTOLO~1\AL2DLL.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/9335~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/9335~1/LOCALS~1/Temp/msohtml1/19/clip_image002.jpg
O24 - Desktop Component 2: (no name) - file:///C:/DOCUME~1/9335~1/LOCALS~1/Temp/msohtml1/02/clip_image002.jpg
O24 - Desktop Component 3: (no name) - file:///C:/DOCUME~1/9335~1/LOCALS~1/Temp/msohtml1/03/clip_image002.jpg
3.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\system32\koos.exe');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
карантин загрузить
сделать новые логи и прикрепить к следующему сообщению .
Последний раз редактировалось drongo; 27.08.2007 в 21:59 .
Junior Member
Вес репутации
61
Вложения
1.Сделайте лог по след. инструкции: http://virusinfo.info/showthread.php?t=10387 Желательно в Safe Mode.
2.Выполнить скрипт в SafeMode:
Код:
begin
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Последний раз редактировалось PavelA; 28.08.2007 в 10:46 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 2 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\koos.exe - Trojan-Proxy.Win32.Wopla.ag (DrWEB: Trojan.Sklog) c:\\windows\\temp\\startdrv.exe - Trojan-Downloader.Win32.Diehard.bq (DrWEB: Trojan.DownLoader.29243)