Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 38.

Startdvr.exe (заявка № 14973)

  1. #1
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40

    Thumbs up Startdvr.exe

    Где то подцепил его...юзает трафик постоянно. еще каспер ругался на wjview.exe но может это что то другой. Помогите разобраться и излечиться Заранее спс.

    не могу прикреписть логи...что делать ?
    не дает загружать
    Последний раз редактировалось Moroes; 07.12.2007 в 14:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Кнопочку Загрузить не забыли нажать?
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40
    Результат загрузки
    Эта страница предназначена только для загрузки подозрительных файлов которые Вас попросили прислать.
    Логи нужно прикреплять к сообщениям на форуме.
    Спасибо что читаете правила и делаете всё так как Вас попросили, а не как попало.

    а вложения просто не открывает

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Нажимаем "Ответить", потом внизу "Управление вложениями", кнопками "Обзор..." выбираем файлы, жмем "Загрузить". Так делали?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40
    оказывается все было просто: Blocked Pop-Up
    Последний раз редактировалось Alex_Goodwin; 09.12.2007 в 21:21.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrSvc('ctl_w32');
     BC_QrSvc('runtime');
     BC_DeleteSvc('ctl_w32');
     BC_DeleteSvc('runtime');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните еще один скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sM4qAH4Y.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\WINDOWS\system32\wmedia32.exe','');
     DeleteFile('C:\WINDOWS\system32\wmedia32.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\sM4qAH4Y.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Поищите вручную файл wjview.exe и добавьте в карантин.
    Пришлите карантин согласно приложению 3 правил.
    Удалите все задания в Планировщике.
    Сделайте новые логи.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40
    wjview не нашел...скрипты выполнил...делаю новые логи, и вот хотел еще спросить, по логам не видно нет ли еще какой бяки?

  9. #8
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40
    Выкладываю новые логи...пока не могу проверить опаздываю завтра отпишусь. Спасибо
    Последний раз редактировалось Alex_Goodwin; 09.12.2007 в 21:21.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    Пофиксьте:
    Код:
    O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
    O9 - Extra button: (no name) - DctMapping - (no file)
    Выполните скрипт:
    Код:
    begin
     SysCleanAddFile('wjview.exe');
     SysCleanAddFile('wmedia32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'EbatesMoeMoneyMaker');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WMedia32');
     DeleteFile('wmedia32.exe');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После перезагрузки повторите лог hijackthis.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Вот эту штуку удалите:
    C:\Program Files\NavExcel\NavHelper\v2.0.4c\v2.0.4c.cab/{CAB}/NHelper.htm >>>>> Spy.NavExcel
    Посмотрите, что вам нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> разрешена потенциально опасная служба TermService (Службы терминалов)
    >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> разрешена потенциально опасная служба Schedule ()
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    Лишнее отключим.

    Добавлено через 2 минуты

    Карантин вы так и не прислали. Его надо загрузить через эту форму:
    http://virusinfo.info/upload_virus.php?tid=14973
    (см. приложение 3 правил).
    Последний раз редактировалось Bratez; 07.12.2007 в 16:17. Причина: Добавлено
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40
    хайджек после фикса...скрипт забыл...сек
    карантин показывает что пустой...
    Последний раз редактировалось Alex_Goodwin; 09.12.2007 в 21:20.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Для пущей стерильности еще это можно пофиксить:
    Код:
    O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - (no file)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40
    а список служб я не знаю что за что отвечает, а следовательно не знаю что мне нужно...подскажите позжалуйста за что они все отвечают

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    В принципе можно безболезненно отключить все.
    Вот таким скриптом:
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Если есть локалка с общим доступом к файлам и принтерам, уберите красную строчку. Если автозапуск CD жалко - уберите зеленую .
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40
    Огромное спасибо за помощь и советы.
    Карантин выслал. вот хайджек после всех указанных фиксов и скриптов...
    С уважением, Moroes
    Последний раз редактировалось Alex_Goodwin; 09.12.2007 в 21:22.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    В логе все нормально.

    Если что, заходите еще .
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40
    Спасибо за приглашение на днях заскочу еще...у меня дома локалка, вот на втором компе видимо все еще хуже...буду рад если с ним тоже поможете

    С уважением, Moroes

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Минутку! В карантине Ip6Fw.sys - Rootkit.Win32.Agent.pr!
    Мы с вами его не удаляли, хотя из логов он испарился...
    Сейчас напишу скрипт.

    Добавлено через 2 минуты

    Вот, выполните:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Будет время - сделайте еще раз полный комплект логов для успокоения души
    Последний раз редактировалось Bratez; 07.12.2007 в 16:49. Причина: Добавлено
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40
    Еще раз спс. сприптик сделал. завтра приду сделаю еще раз все логи и в эту же тему выложу.

    С уважением, Moroes

  21. #20
    Junior Member Репутация
    Регистрация
    07.12.2007
    Адрес
    Новосибирск
    Сообщений
    69
    Вес репутации
    40
    Вот финальные логи...что то нашлось еще (после обновления АВЗ)
    Последний раз редактировалось Alex_Goodwin; 09.12.2007 в 21:23.

  • Уважаемый(ая) Moroes, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Троян на ноуте и startdvr.exe
      От Fox в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 03.08.2007, 13:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00280 seconds with 16 queries