Показано с 1 по 9 из 9.

Последствия действия вируса (заявка № 28087)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    15
    Вес репутации
    58

    Thumbs up Последствия действия вируса

    Здравствуйте.

    На ноутбуке ASUS F3J "поработали" вирусы, после чего система (XP SP2) при загрузке вылетала в синий экран, на котором было что-то про файл nvmini.sys.

    В safe mode запустил свежескачанный DrWeb CureIT! Он нашёл некотрые вирусы, удалил их. Теперь система загружается в обычном режиме, но выводит сообщение: "startdrv.exe - обнаружена ошибка. Приложение будет закрыто..." и постоянно в папке "C:\Windows\Temp" появляется этот самый startdrv.exe. Удалял его вручную - после перезагрузки появляется вновь. Наде.сь на Вашу помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('System Scheduler');
     SetServiceStart('Schedule',4);
     QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
     QuarantineFile('C:\C4D6C7CC9510079F44255140889771B0\10614006\5\12012008\11\1154285430.r','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\C4D6C7CC9510079F44255140889771B0\10614006\5\12012008\11\1154285430.r');
     DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
     DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('System Scheduler');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    15
    Вес репутации
    58
    Повторные логи
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Обновите базы АВЗ!!!
    Желательно почистить планировщик задач и удалить TuneUp- бесполезная штука.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ctl_w32');
     QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('ctl_w32');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    15
    Вес репутации
    58
    Ещё логи
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ничего плохого не вижу.
    Как работает система?
    Сервис Пак 3 нужно поставить и насчет Планировщика и Тю-Ап - подумайте.

    Вот что поймали
    ctl_w32.sys - Rootkit.Win32.Agent.pq,
    startdrv.exe - Trojan.Win32.Agent.dfa
    Последний раз редактировалось Rene-gad; 15.08.2008 в 12:30.

  8. #7
    Junior Member Репутация
    Регистрация
    05.06.2008
    Сообщений
    15
    Вес репутации
    58
    Система работает стабильно уже после выполнения первого скрипта.
    Тюне-Ап иногда полезная штука,
    а как почистить планировщик?

    Спасибо большое за помощь!

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Ikarek Посмотреть сообщение
    Тюне-Ап иногда полезная штука
    В общем тут не тема, но все это можно делать бортовыми средствами Винды.
    а как почистить планировщик?
    Запустить, посмотреть, что там и ненужное удалить.
    Службу лучше всего остановить.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\ctl_w32.sys - Rootkit.Win32.Agent.pq (DrWEB: Trojan.NtRootKit.496)
      2. c:\\windows\\temp\\startdrv.exe - Trojan.Win32.Agent.dfa (DrWEB: BackDoor.Bulknet.105)


  • Уважаемый(ая) Ikarek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 11.02.2011, 15:40
    2. Последствия действия вирусов
      От Дройд в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.07.2010, 17:49
    3. Последствие действия вируса Trojan.PWS.Ibank.39
      От serenkij в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.05.2010, 12:11
    4. Последствия действия Internet security
      От mvalen в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.01.2010, 20:17
    5. Ответов: 1
      Последнее сообщение: 25.01.2010, 19:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00989 seconds with 20 queries