Показано с 1 по 7 из 7.

startdrv.exe MulDrop.9300 (заявка № 13111)

  1. #1
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    6
    Вес репутации
    38

    Thumbs up startdrv.exe MulDrop.9300

    Доброго времени суток! Заранее извиняюсь если дублирую тему, но в каждом случае могут быть свои нюансы.
    Вкратце о проблеме:
    Drweb постоянно ,блокирует один файл, затем обнаруживает С:\WINDOWS\Temp\startdrv.exe предлагает лечить, но не лечит, потом удалить, но в итоге, после перезагрузки все повторяется.
    c:\windows\temp\startdrv.exe Drweb определяет как MulDrop.9300
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    1AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\runtime.sys');
     BC_QrFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys');
     BC_QrFile('C:\WINDOWS\system32\DRIVERS\spooldr.exe');
     BC_QrFile('C:\WINDOWS\spooldr.exe');
     BC_QrFile('C:\WINDOWS\system32\ctfmon.exe');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_Activate;
     RebootWindows(true);
    end.
    2.Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13111
    3. в безопасном режиме : http://virusinfo.info/showthread.php?t=10387

    Добавлено через 21 минуту

    Ждёмс
    Последний раз редактировалось drongo; 11.10.2007 в 14:03. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    6
    Вес репутации
    38
    [quote=drongo;141228]1AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Done
    2.Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13111
    Done
    3. в безопасном режиме : http://virusinfo.info/showthread.php?t=10387
    Done

    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    вот эту парочку пришлите, можно по пункту 2 правил:
    Код:
    begin
     QuarantineFile('C:\fwdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\CDAC15BA.SYS','');
    
    end.
    C:\WINDOWS\Temp\startdrv.exe-Из автозагрузки надо убрать(можно даже в авз)

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Выполнить:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\fwdrv.sys','');
     BC_DeleteFile('C:\fwdrv.sys');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить если что-то попадет в карантин.

    Troj/Mailbot-CG
    Признаки
    При старте копирует себя в корневую директорию под именем fwdrv.sys; регистрирует этот файл как системный сервис с автоматическим запуском.

    Создаёт запись о сервисе в разделе реестра:
    HKLM\SYSTEM\CurrentControlSet\Services\fwdrv.sys

    Псевдонимы: SpamTool.Win32.Agent.u, Spam-Xarvester.trojan, Spammer.Win32/Agent.U.
    Источник:http://safe.cnews.ru/bugtrack/entry/...7/08/16/103492
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    6
    Вес репутации
    38
    Цитата Сообщение от drongo Посмотреть сообщение
    вот эту парочку пришлите, можно по пункту 2 правил:
    Код:
    begin
     QuarantineFile('C:\fwdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\CDAC15BA.SYS','');
     
    end.
    Done, файлы выслал на п3 (на всяк случ)
    C:\WINDOWS\Temp\startdrv.exe-Из автозагрузки надо убрать(можно даже в авз)
    убрал в АВЗ

    Добавлено через 3 минуты

    Цитата Сообщение от PavelA Посмотреть сообщение
    Выполнить:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\fwdrv.sys','');
     BC_DeleteFile('C:\fwdrv.sys');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    выполнил, в карантине вроду нулевые файлы

    Добавлено через 1 минуту

    Теперь попытаюсь заново посмотреть как ведет себя Drweb.. по результатам отпишусь...

    Добавлено через 5 минут

    проверил, система чистая, drweb вирус больше не обнаруживает.
    Мужики, большое всем спасибо...!!!
    Будете на Украине, заходите, с меня пиво...
    Последний раз редактировалось DarkDiver; 11.10.2007 в 16:00. Причина: Добавлено

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) DarkDiver, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Muldrop и еще что-то.
      От Desann в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 02.06.2009, 01:47
    2. Trojan.MulDrop.12136
      От sv65 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 04:56
    3. Trojan.MulDrop.6474
      От Redis в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:36
    4. Trojan.MulDrop.6024
      От Rogoff в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 02:07
    5. Ответов: 1
      Последнее сообщение: 27.07.2007, 19:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01208 seconds with 17 queries