Показано с 1 по 11 из 11.

Rootkit runtime2.sys (заявка № 10812)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2007
    Сообщений
    48
    Вес репутации
    75

    Exclamation Rootkit runtime2.sys

    Какой-то руткит на компе обнаружил в файле runtime2.sys. Гад стал при каждой загрузке убивать бут сектор диска C. Тут нашел решение, почистил avz'ом все что нужно. Вроде бут сектор не убивается. По видимому что-то еще осталось пофиксить в хайджеке. Посмотрите пожалуйста и подскажите осталось ли что от виря?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Обновить базы AVZ.
    Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
     BC_DeleteSvc('runtime.sys');
     BC_DeleteSvc('runtime2.sys');
     QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys','');
     BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
     BC_Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
    BC_ImportAll; 
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин по ссылке вверху темы.

    Обновить Виндовс. Поставить SP2 + заплатки после него.
    Обновить антивирус.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2007
    Сообщений
    48
    Вес репутации
    75
    Файлы залил 070704_121416_virus_468b56d9006d3.zip. Карантинил их еще ранее. Скрипт предложенный выполнил, но в карантин ничего нового не добавилось (0 размер уже).
    И все-таки в HiJackThis стоит что-либо фиксить?

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Давай новый комплект логов. Посмотрим, что осталось.
    Что фиксить, смотри в конце сообщения #2

    Добавлено через 5 минут
    C:\WINDOWS\System32\USERV.EXE - поискать в AVZ, добавить в карантин и прислать.
    Последний раз редактировалось PavelA; 04.07.2007 в 12:56. Причина: Добавлено сообщение
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2007
    Сообщений
    48
    Вес репутации
    75
    070704_133318_userv_468b695ea17c1.zip
    Также где-то на диске были файлики с подозрением на троян с таким же размером как и userv.exe, они также в карантине.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    выполните пока этот скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    счас карантин проверю и скажу что делать дальше.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2007
    Сообщений
    48
    Вес репутации
    75
    Выполнил, жду.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    "Восстановление системы" отключено? А то Фениксы восстают из пепла.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2007
    Сообщений
    48
    Вес репутации
    75
    Отключал недавно, включил когда думал что все почищено. Но сейчас опять отключил.
    Покопался в ресурсах userv.exe - похоже что ничего зловредного, какой-то менеджер лицензий Kodeks. Но смущает пару строк в файле: "Knock-knock!" и "Here_i_am!"

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от NStorm Посмотреть сообщение
    Покопался в ресурсах userv.exe - похоже что ничего зловредного, какой-то менеджер лицензий Kodeks. Но смущает пару строк в файле: "Knock-knock!" и "Here_i_am!"
    Я его проверил на virustotal. Никто его не знает. Хотя в гугл есть пара ссылок на то, что это вирус.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. \\systemroot\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)


  • Уважаемый(ая) NStorm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. startdrv.exe и runtime2.sys
      От crash_override в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:49
    2. runtime2.sys
      От Kingus в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:43
    3. runtime2 и startdrv
      От AirMax в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:14
    4. Runtime2 подозрение на rootkit
      От BooZ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.02.2009, 23:14
    5. удалил ли runtime2.sys ????
      От Igorius75 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.11.2007, 17:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00964 seconds with 20 queries