Вернуться   All about PC SECURITY (Все для безопасности ПК) > Безопасность компьютера! > Известные вирусы-вопросы по лечению
Войти через OpenID

C Новым годом!)
До Нового года осталось совсем чуть-чуть ...
Привет, Гость!
Что бы быть полноценным участником конференции, потратьте всего минуту на регистрацию.
Регистрация/Register Now
 
Опции темы Опции просмотра
Старый 18.12.2007, 07:15   #1
Valerian
Наш брат
 
Аватар для Valerian
 
Регистрация: 01.07.2007
Сообщений: 3,727
Благодарил(а): 647 раз(а)
Поблагодарили: 1,191 раз(а) в 446 сообщениях
Valerian отключил(а) отображение уровня репутации
По умолчанию вирус Win32.TrojanDownloaderAgtent.NTU

Пользуюсь нодом обновляюсь систематически, но этот вирус не вкакую не удоляется..... Пишет что ошибка приудалении - файл заблокирован C:\WINDOWS\TEMP\startdrv.exe
Valerian вне форума   Ответить с цитированием Вверх
Старый 18.12.2007, 09:43   #2
Stix
Шаман-Дурак
 
Аватар для Stix
 
Регистрация: 02.07.2007
Адрес: Москва
Сообщений: 1,009
Благодарил(а): 2,139 раз(а)
Поблагодарили: 981 раз(а) в 441 сообщениях
Stix отключил(а) отображение уровня репутации
По умолчанию

попробуй сделать это в безопасном режиме, по идее должно все срастись
__________________
Состарятся правнуков дети,
Железа не знавшие силы...
Они позабудут и скажут:
"Те, древние, были "с приветом"!"
А нам наплевать на потомков -
О нас будут плакать рассветы... ©
Stix вне форума   Ответить с цитированием Вверх
Старый 18.12.2007, 09:53   #3
VicAnt
VIP-пользователи
 
Аватар для VicAnt
 
Регистрация: 04.07.2007
Сообщений: 2,714
Благодарил(а): 5,111 раз(а)
Поблагодарили: 1,502 раз(а) в 875 сообщениях
VicAnt отключил(а) отображение уровня репутации
По умолчанию

Можно еше попробовать поискать в реестре все ссылки на файл startdrv.exe и удалить их, затем перезагрузиться и почистить всю папку C:\WINDOWS\TEMP\ ...
VicAnt вне форума   Ответить с цитированием Вверх
Старый 18.12.2007, 12:40   #4
ursa
VIP-пользователи
 
Аватар для ursa
 
Регистрация: 02.11.2007
Сообщений: 1,605
Благодарил(а): 5,655 раз(а)
Поблагодарили: 2,075 раз(а) в 843 сообщениях
ursa отключил(а) отображение уровня репутации
По умолчанию

Цитата:
Сообщение от Ricco Посмотреть сообщение
ошибка приудалении - файл заблокирован C:\WINDOWS\TEMP\startdrv.exe
Если ты видишь его в виндовом диспетчере задач, можно попробовать снять процесс. После этого переименовать файл (проще и лучше всего - расширение, чтобы не допускать запуски в дальнейшем). Перегрузиться. Если не помогло, тогда заморачиваться и исхитряться.
ursa вне форума   Ответить с цитированием Вверх
Старый 18.12.2007, 12:50   #5
Valerian
Наш брат
 
Аватар для Valerian
 
Регистрация: 01.07.2007
Сообщений: 3,727
Благодарил(а): 647 раз(а)
Поблагодарили: 1,191 раз(а) в 446 сообщениях
Valerian отключил(а) отображение уровня репутации
По умолчанию

Цитата:
Сообщение от Ricco Посмотреть сообщение
Пользуюсь нодом обновляюсь систематически, но этот вирус не вкакую не удоляется..... Пишет что ошибка приудалении - файл заблокирован C:\WINDOWS\TEMP\startdrv.exe
Если ничто не помогает попробуй программу Unloker
Valerian вне форума   Ответить с цитированием Вверх
Благодарность от:
Старый 19.12.2007, 07:36   #6
Valerian
Наш брат
 
Аватар для Valerian
 
Регистрация: 01.07.2007
Сообщений: 3,727
Благодарил(а): 647 раз(а)
Поблагодарили: 1,191 раз(а) в 446 сообщениях
Valerian отключил(а) отображение уровня репутации
По умолчанию

Unlocker не помогает, после перезагрузки эт файл снова в Temp, в безопасном файл startdrv.exe не удаляется........ в реестре есть ссылка на него но параметр из реестра тоже не убивается
Valerian вне форума   Ответить с цитированием Вверх
Старый 19.12.2007, 09:52   #7
Valerian
Наш брат
 
Аватар для Valerian
 
Регистрация: 01.07.2007
Сообщений: 3,727
Благодарил(а): 647 раз(а)
Поблагодарили: 1,191 раз(а) в 446 сообщениях
Valerian отключил(а) отображение уровня репутации
По умолчанию

Цитата:
Сообщение от Ricco Посмотреть сообщение
Unlocker не помогает, после перезагрузки эт файл снова в Temp, в безопасном файл startdrv.exe не удаляется........ в реестре есть ссылка на него но параметр из реестра тоже не убивается
Попробуй совместить AVZ - антивирус и HiJackThis - Показывает тебе все что грузится с включением компа.

Вирус startdrv это только часть. есть еще вроде 3 файлика которые надо убить из автозагрузки. правда не помню какие. Тогда и сможешь от него избавиться.

ПРОБУЙ
Valerian вне форума   Ответить с цитированием Вверх
Старый 19.12.2007, 10:26   #8
VicAnt
VIP-пользователи
 
Аватар для VicAnt
 
Регистрация: 04.07.2007
Сообщений: 2,714
Благодарил(а): 5,111 раз(а)
Поблагодарили: 1,502 раз(а) в 875 сообщениях
VicAnt отключил(а) отображение уровня репутации
По умолчанию

Цитата:
Сообщение от Ricco Посмотреть сообщение
в реестре есть ссылка на него но параметр из реестра тоже не убивается
Скорее всего у тебя этой ветке реестра в параметрах безопасности присвоен статус только чтение ... Кликни правой клавишей по ветке в левом окне редактора, в контекстном меню выбери Разрешения ... и установи Полный доступ ... Затем убей этот параметр, перезагрузись и очисти папку temp полностью ...
VicAnt вне форума   Ответить с цитированием Вверх
Старый 19.12.2007, 14:21   #9
ursa
VIP-пользователи
 
Аватар для ursa
 
Регистрация: 02.11.2007
Сообщений: 1,605
Благодарил(а): 5,655 раз(а)
Поблагодарили: 2,075 раз(а) в 843 сообщениях
ursa отключил(а) отображение уровня репутации
По умолчанию

Ricco, а кто тебе запрещает стартовать с компакта и снести все содержимое папки Temp?
ursa вне форума   Ответить с цитированием Вверх
Старый 19.12.2007, 15:56   #10
Escher
Индеец
 
Регистрация: 19.07.2007
Сообщений: 55
Благодарил(а): 52 раз(а)
Поблагодарили: 243 раз(а) в 13 сообщениях
Escher все больше радует насEscher все больше радует насEscher все больше радует насEscher все больше радует нас
По умолчанию

ursa, Это верхушка айсберга. Скорей всего сам гад сидит в другом месте.
Попробуй по совету Skiminok запользовать AVZ и HiJackThis.
У нас в конторе была аналогичная фигня - Админ руками все вычищал из под другой системы. А на месте тех файлов создавал с такими же именами, но запрещал к ним доступ полностью.
Ricco,
Нужно проверить есть ли в виндосных каталогах файлы:
1. runtime2.*
2. ip6wчто-тотам

Учти, что потерев их ты скорее всего потеряешь сеть и тебе понадобиться вот такая команда
cmd-> "netsh winsock reset" Работает по WinXP только со вторым сервиспаком! Под первым не работает.

что советуют:
В AVZ ВЫПОЛНИТЬ СКРИПТ:
Цитата:
begin
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime. sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2 .sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sy s','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys ');
DeleteFile('%Windir%\system32\drivers\runtime.sys' );
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
И уже дальше смотреть...
Escher вне форума   Ответить с цитированием Вверх
Ответ

Социальные закладки

Метки
вирус

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
вирус Worm.Win32.AutoIt.c megauser Известные вирусы-вопросы по лечению 8 12.09.2008 15:56
вирус Win32/Mebroot Valerian Известные вирусы-вопросы по лечению 9 04.07.2008 22:34
вирус Trojan-PSW.Win32.LdPinch.fxi Valerian Известные вирусы-вопросы по лечению 7 12.03.2008 06:37
вирус Win32.Klez.J maestrorex Известные вирусы-вопросы по лечению 5 18.02.2008 00:06
вирус win32.virut.nat. Valerian Известные вирусы-вопросы по лечению 8 19.12.2007 00:37


Lo-Fi Version Текущее время: 22:05. Часовой пояс GMT +3.
Powered by vBulletin®
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot.
Весь материал, представленный на сайте madbadjack.com взят из открытых источников или опубликован посетителями форума. Материал используется исключительно в некоммерческих (ознакомительных) целях. Все права на публикуемые аудио, видео, графические и текстовые материалы принадлежат их владельцам. Запрещено любое использование материалов сайта без письменного разрешения авторов материала. Если Вы являетесь АВТОРОМ материала или ОБЛАДАТЕЛЕМ АВТОРСКИХ ПРАВ на него и против его использования на нашем сайте пожалуйста свяжитесь с нами.