"как удалить руткит из drivers\runtime2.sys?")

[anpspb]

Из приложенных файлов видно, что модуль runtime2.sys перехватывает функции. В протоколе лечения отмечено, что код перехватчика нейтрализован, но тем не менее сообщения о перехвате после перезагрузки опять появляются в протоколе syscheck (см. файл), да и антивир Avast успешно рапортует о наличии трояна в модуле secdrv.sys (который успешно был удален предварительным - до AVZ - запуском CureIt).

(КСТАТИ - вопрос о терминах: "нейтрализован" в AVZ говорит о выполненном лечении "навсегда" или только в данном состоянии, до перезагрузки, и после нее потребуется еще как-то долечивать?)

При попытке удаления runtime2.sys средствами AVZ последний пишет, что после перезагрузки удаление будет сделано. Но не тут-то было! После нее по-прежнему avast ругается на secdrv.sys, AVZ пишет, что по-прежнему перехватываются функции.

Протокол HijackThis, каюсь, не приложил - не успел переписать при уходе от компа, доступ к которому имеется не каждый день. Однако при изучении этого протокола не заметил ни одной строки со словом runtime2, нчего подозрительного тоже в глаза не бросилось, наверное, не там искал.

keylogger (c именем w3knet.dll) был удален вручную (при просмотре протокола лечения был выделен флажком и после перезагрузки более не подавал признаков жизни). однако надежды на иправление проблемы с runtime2.sys после перезагрузки не оправдались...

Может быть можно, перезагрузившись с CD, просто убить инфицированные модули и заменить на одноименные из system32 чистой машины? или есть другой более элегантный способ убиения этой гадости?

Отмечу, что сеть не работает после первой же попытки (еще неделю назад) пролечить комп средствами NAV2003 и Avast. При выдаче ipconfig /all молчит (т.е. указывает, что сетка настраивается). Надеюсь победить это также средствами AVZ, попытавшись запустить спецкоманды для восстановления систеы.

Заранее благодарю за ответ!
anpspb

[anpspb]

Из приложенных файлов видно, что модуль runtime2.sys перехватывает функции. В протоколе лечения отмечено, что код перехватчика нейтрализован, но тем не менее сообщения о перехвате после перезагрузки опять появляются в протоколе syscheck (см. файл), да и антивир Avast успешно рапортует о наличии трояна в модуле secdrv.sys (который успешно был удален предварительным - до AVZ - запуском CureIt).

(КСТАТИ - вопрос о терминах: "нейтрализован" в AVZ говорит о выполненном лечении "навсегда" или только в данном состоянии, до перезагрузки, и после нее потребуется еще как-то долечивать?)

При попытке удаления runtime2.sys средствами AVZ последний пишет, что после перезагрузки удаление будет сделано. Но не тут-то было! После нее по-прежнему avast ругается на secdrv.sys, AVZ пишет, что по-прежнему перехватываются функции.

Протокол HijackThis, каюсь, не приложил - не успел переписать при уходе от компа, доступ к которому имеется не каждый день. Однако при изучении этого протокола не заметил ни одной строки со словом runtime2, нчего подозрительного тоже в глаза не бросилось, наверное, не там искал.

keylogger (c именем w3knet.dll) был удален вручную (при просмотре протокола лечения был выделен флажком и после перезагрузки более не подавал признаков жизни). однако надежды на иправление проблемы с runtime2.sys после перезагрузки не оправдались...

Может быть можно, перезагрузившись с CD, просто убить инфицированные модули и заменить на одноименные из system32 чистой машины? или есть другой более элегантный способ убиения этой гадости?

Отмечу, что сеть не работает после первой же попытки (еще неделю назад) пролечить комп средствами NAV2003 и Avast. При выдаче ipconfig /all молчит (т.е. указывает, что сетка настраивается). Надеюсь победить это также средствами AVZ, попытавшись запустить спецкоманды для восстановления систеы.

Заранее благодарю за ответ!
anpspb

[Trotil]

Здравствуйте!

1. Отключить восстановление системы.
2. Пофиксить в HiJackThis

Код:

F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,

(если будет строчка именно в таком виде)

3. Выполнить скрипт в AVZ:

Код:

begin
 BC_QrFile('D:\WINDOWS\system32\ntos.exe');
 BC_QrFile('D:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('D:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('D:\WINDOWS\web\related.htm');
 BC_DeleteFile('D:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('D:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('D:\WINDOWS\web\related.htm');
 //BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_Activate;
 SysCleanAddFile('D:\WINDOWS\web\related.htm');
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

Сделать новые логи.

[PavelA]

http://virusinfo.info/showthread.php?t=10387 - вот этот лог еще в защищенном режиме надо будет сделать.

[anpspb]

Дорогие коллеги, Trotil и PavelA!
Спасибо за советы, завтра буду на компе все это пробовать! Логи обязательно пришлю!

С уважением,
anpspb