Показано с 1 по 7 из 7.

arm32.dll убил AVZ? (заявка № 11497)

  1. #1
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    4
    Вес репутации
    61

    Exclamation arm32.dll убил AVZ?

    Ситуация.
    Несколько дней назад запускаю AVZ и получаю BSOD с сообщением:

    stop at 0000008e (c0000005, f7407640, ba7c7b80 /эти два числа бывали и немного другими/, 0000000)

    fastfat.sys - address f7407640 base at f7407000 /тоже бывали немного другими/, datestamp 41107eb7.

    повторяется 100%. если выключить детект перехватчиков api и rootkit, все работает, но ничего интересного не сообщает.

    запускаюсь в safemode. работает и выдает интересное сообщение - что-то вроде "прямой доступ к arm32.dll", не красным. лезу на форумы, вспоминаю иногда выплывавший в виндовском брандмауэере lsass.exe и вроде как понимаю источник проблемы.

    загружаюсь во вторую ОС, прибиваю arm32.dll, прибиваю его ветку в реестре, прибиваю lsass и csrss - вроде все работает, вроде все отлично.

    запускаю AVZ - снова BSOD.

    в safe mode - пишет красным "ошибка обмена с драйвером [00000002] - [1]", примерно тогда же, когда в обычном режиме падаем. запускаем в safe mode сервис>модули пространства ядра - снова BSOD.

    переименовываю, как писали, avz, пытаюсь "исследовать систему" в safe mode - BSOD. скрипт, делающий лог для "правил" - BSOD (в обычном режиме - сразу, в безопасном - после проверки диска).

    короче, на данный момент ситуация выглядит так: троян вроде убит, его файлы или ветка в реестре не возрождалась, ни единого вируса dr.web и cureit (сегодня обновленные) нигде не находят - но любые попытки AVZ добраться до ядра вызывают BSOD.

    ...да, по ходу дела в safe mode еще несколько раз всплывал startdrv.exe в temp. несколько раз убился и перестал. в реестре есть ветки от runtime2.sys, однако самого runtime2.sys нигде не видать. ветки при этом не удалить регэдитом - как бы это сделать?

    логи по понятным причинам приложить не могу

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    давайте лог HijackThis и дополнительный лог как сказано тут
    http://www.virusinfo.info/showthread.php?t=10387

  4. #3
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    4
    Вес репутации
    61
    дополнительный лог не сделать - BSOD в процессе "исследования системы".
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    сделайте проверку диска
    пуск--выполнить--cmd--- chkdsk /f
    а после выполните такой скрипт
    Код:
    begin
     BC_QrFile('D:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('D:\WINDOWS\system32\drivers\runtime.sys');
     BC_QrFile('D:\WINDOWS\system32\drivers\runtime2.sys');
     BC_QrFile('D:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_Activate;
     RebootWindows(true);
    end.
    и попробуйте сделать логи

  6. #5
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    4
    Вес репутации
    61
    Спасибо, заработало, AVZ положил в карантин runtime2.sys и потом ожил. BSOD больше нет. Вот логи. Карантин с runtime2.sys, ip6fw.sys и отмеченным в качестве подозрительного WGDRVR32.DLL (это драйвер софтварного эмулятора wavetable-аудиокарты) нужны?

    (...убить ветки от runtime в HKLM/system/currentcontrolset/enum/root - по-прежнему не получается =( )
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\Drivers\whiskeyb.sys','');
     QuarantineFile('d:\windows\lsass.exe','');
     DeleteFile('d:\windows\lsass.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Пришлите старый и новый карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11497

  8. #7
    Junior Member Репутация
    Регистрация
    02.08.2007
    Сообщений
    4
    Вес репутации
    61
    whiskeyb.sys - это драйвер Alcohol 120, я его при установке так обозвал А lsass.exe удален давно, только в реестре хитро заныканная строчка осталась... Приду домой - сделаю и залью карантины.

  • Уважаемый(ая) shdwlr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 29.03.2011, 21:42
    2. Создает на флешкарте файл autorun.inf и файл самого вируса (заявка №42755)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 17.12.2010, 00:00
    3. Ответов: 9
      Последнее сообщение: 23.09.2010, 21:45
    4. Файл spls.sys. ЧТО ЭТО ЗА ФАЙЛ?
      От SantaRosa1987 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.04.2010, 04:35
    5. Ответов: 5
      Последнее сообщение: 06.02.2008, 17:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01322 seconds with 20 queries