Ситуация.
Несколько дней назад запускаю AVZ и получаю BSOD с сообщением:
stop at 0000008e (c0000005, f7407640, ba7c7b80 /эти два числа бывали и немного другими/, 0000000)
fastfat.sys - address f7407640 base at f7407000 /тоже бывали немного другими/, datestamp 41107eb7.
повторяется 100%. если выключить детект перехватчиков api и rootkit, все работает, но ничего интересного не сообщает.
запускаюсь в safemode. работает и выдает интересное сообщение - что-то вроде "прямой доступ к arm32.dll", не красным. лезу на форумы, вспоминаю иногда выплывавший в виндовском брандмауэере lsass.exe и вроде как понимаю источник проблемы.
загружаюсь во вторую ОС, прибиваю arm32.dll, прибиваю его ветку в реестре, прибиваю lsass и csrss - вроде все работает, вроде все отлично.
запускаю AVZ - снова BSOD.
в safe mode - пишет красным "ошибка обмена с драйвером [00000002] - [1]", примерно тогда же, когда в обычном режиме падаем. запускаем в safe mode сервис>модули пространства ядра - снова BSOD.
переименовываю, как писали, avz, пытаюсь "исследовать систему" в safe mode - BSOD. скрипт, делающий лог для "правил" - BSOD (в обычном режиме - сразу, в безопасном - после проверки диска).
короче, на данный момент ситуация выглядит так: троян вроде убит, его файлы или ветка в реестре не возрождалась, ни единого вируса dr.web и cureit (сегодня обновленные) нигде не находят - но любые попытки AVZ добраться до ядра вызывают BSOD.
...да, по ходу дела в safe mode еще несколько раз всплывал startdrv.exe в temp. несколько раз убился и перестал. в реестре есть ветки от runtime2.sys, однако самого runtime2.sys нигде не видать. ветки при этом не удалить регэдитом - как бы это сделать?
логи по понятным причинам приложить не могу
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо, заработало, AVZ положил в карантин runtime2.sys и потом ожил. BSOD больше нет. Вот логи. Карантин с runtime2.sys, ip6fw.sys и отмеченным в качестве подозрительного WGDRVR32.DLL (это драйвер софтварного эмулятора wavetable-аудиокарты) нужны?
(...убить ветки от runtime в HKLM/system/currentcontrolset/enum/root - по-прежнему не получается =( )
whiskeyb.sys - это драйвер Alcohol 120, я его при установке так обозвал А lsass.exe удален давно, только в реестре хитро заныканная строчка осталась... Приду домой - сделаю и залью карантины.
Уважаемый(ая) shdwlr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: