Junior Member
Вес репутации
60
startdrv.exe задрад уже мой бедный комп
Каждый раз после ребута появляеться файл startdrv.exe. Лечился всем. А он сидит. Не могу понять где яица этого зверя. Убивал и реестровые ссылки и рунтаймы и экзешники а он сцуко как приведение. Сделал все процедуры. Вылаживаю необходимые логи и отчеты.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.В avz выполнить скрипт :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 правил
3.после перезагрузки в avz выполнить скрипт :
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\1AP76iy5.exe','');
QuarantineFile('C:\WINDOWS\system32\rpcc.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\rpcc.exe');
DeleteFile('C:\WINDOWS\system32\1AP76iy5.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
4.Выслать карантин согласно приложению 3 правил
5.Повторить логи.
и следом такой скрипт
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\adtool.dll','');
QuarantineFile('C:\WINDOWS\WebAssist.dll','');
QuarantineFile('C:\WINDOWS\system32\Ocenka.exe','');
DeleteFile('C:\WINDOWS\WebAssist.dll');
DeleteFile('C:\WINDOWS\system32\adtool.dll');
ExecuteSysClean;
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=14504
что из этого вам нужно?остальное поправим
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Schedule ()
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Junior Member
Вес репутации
60
Сообщение от
zerocorporated
1.В avz
выполнить скрипт :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3
правил
3.после перезагрузки в avz
выполнить скрипт :
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\1AP76iy5.exe','');
QuarantineFile('C:\WINDOWS\system32\rpcc.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\rpcc.exe');
DeleteFile('C:\WINDOWS\system32\1AP76iy5.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
4.Выслать карантин согласно приложению 3
правил
5.Повторить логи.
ЧТо значит повторить логи ? Необходимо снова в авз проделать процедуры по скриптам вирусинфо ?
именно так,и не забудьте прислать карантин.
Junior Member
Вес репутации
60
Вложения
Пофиксите в HijackThis:
Код:
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll (file missing)
O2 - BHO: HtmlView Helper - {E496675D-472B-4A82-A4F7-2EBBE5DA6754} - C:\WINDOWS\system32\adtool.dll (file missing)
O4 - HKLM\..\Run: [Winmplayer] "C:\WINDOWS\system32\KB_963491.exe"
Удалите все задания в Планировщике, кроме "OVC - Generate Maps (Archive)", если оно нужно. (Панель управления - Назначенные задания).
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 14 В ходе лечения вредоносные программы в карантинах не обнаружены