Помогите : runtime.sys / runtime.sys / qttask.exe 99%

[sinner76]

Помогите пожалуста !
Панда обнаружила :
Virus detected: Trj/Downloader.MDW File antivirus protection 08/30/07 19:51:53 Disinfected Path: c:\windows\system32\drivers\runtime.sys
Virus detected: Trj/Downloader.MDW File antivirus protection 08/30/07 19:51:50 Disinfected Path: c:\windows\system32\drivers\ip6fw.sys
После перезагрузки компьютера , очень тормозил комп , висел qttask.exe 99% , я убрал в автозагрузке КвикТайм и вроде как стало нормально


Пробывал запустить AVZ и сделать лог , но выскакивает синий экран , в безопасном режиме тоже самое (3 пункт лога проходит , но при сохранении его выкидывает в син.экран) , cureit проходит только быструю проверку , При попытке проверить весь каталог windows также появляется синии экран (в безапасном режиме тоже самое).И вот получается лог в AVZ сделать не могу только hijackthis. Подскажите пожалуста что делать ?


это :

1. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить
2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол
3. Упакуйте протокол в архив zip или rar и прикрепите к теме вместе со стандартными логами.

тож пробывал делать и в безопасном и так .. тоже самое .. синий экран ...


пожалуйста подскажите как вылечить !!!

[V_Bond]

попробуйте выполнить скрипт ....

Код:

begin
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe,','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ClearHostsFile;
 RebootWindows(true);
end.

если получится ... пришлите карантин согласно приложения 3 правил ...
попробуйте выполнить логи ....

[sinner76]

не получается ((((

сразу же выкидывает в синий экран


есть смысл пробывать выполнить этот скрипт в безопасном режиме ?

[V_Bond]

пробуйте....

[sinner76]

в безопасном тоже самое выкидывает

[V_Bond]

попробуйте RCU скачать и просканировать .....

[sinner76]

пробывал сделать все переименоваав avz в 1.exe все тоже самое

ну а RCU просканировал .. но что-т без результатно , либо я что-то не то делаю ...


неужели ничего нельзя сделать ?

похоже там если затрагивается каталог windows то сразу выкидывает

[V_Bond]

выложите лог RCU ...

[sinner76]

не знаю .. это то что нужно ?

[V_Bond]

да это то что нужно ...

[sinner76]

еще вот такое выдало

[RiC]

Скачайте последнюю версию AVZ.
Переименуйте AVZ.exe в что-нибудь, после Файл -> Выполнить скрипт -

Код:

begin
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('c:\windows\system32\drivers\ip6fw.sys');
 BC_QrFile('C:\WINDOWS\SYSTEM32\NTOS.EXE');
 BC_QrFile('C:\WINDOWS\SYSTEM32\WSNPOEM\AUDIO.DLL');
 BC_QrFile('C:\WINDOWS\SYSTEM32\WSNPOEM\VIDEO.DLL');
 BC_DeleteFile('c:\windows\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\NTOS.EXE');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\WSNPOEM\AUDIO.DLL');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\WSNPOEM\VIDEO.DLL');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки пришлите содержимое карантина и сделайте логи по правилам.

[sinner76]

сделал

[V_Bond]

профиксить ...

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

выполнить скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
 ExecuteSysClean;
 BC_Activate;
 ClearHostsFile;
 RebootWindows(true);
end.

повторить логи....

[sinner76]

готово

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RemoteRegistry', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
 SysCleanAddFile('ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
повторите логи.

[sinner76]

сделал

[Muzzle]

пофиксите

Код:

O23 - Service: 134658D204C4881F - Unknown owner - C:\Documents and Settings\MIG 29\Рабочий стол\RkUnhooker\134658D204C4881F.exe (file missing)

В логах ничего вредоносного нет,если проблем больше нет,то лечение можно считать законченным.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[sinner76]

благодарю !!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\2007-08-31\\bcqr00001.dta - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.321)
  2. \\2007-08-31\\bcqr00003.dta - Trojan-Spy.Win32.Zbot.adj (DrWEB: Trojan.Packed.180)