Показано с 1 по 5 из 5.

"как удалить руткит из drivers\runtime2.sys?") (заявка № 13240)

  1. #1
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    С-Петербург
    Сообщений
    32
    Вес репутации
    34

    Exclamation "как удалить руткит из drivers\runtime2.sys?")

    Из приложенных файлов видно, что модуль runtime2.sys перехватывает функции. В протоколе лечения отмечено, что код перехватчика нейтрализован, но тем не менее сообщения о перехвате после перезагрузки опять появляются в протоколе syscheck (см. файл), да и антивир Avast успешно рапортует о наличии трояна в модуле secdrv.sys (который успешно был удален предварительным - до AVZ - запуском CureIt).

    (КСТАТИ - вопрос о терминах: "нейтрализован" в AVZ говорит о выполненном лечении "навсегда" или только в данном состоянии, до перезагрузки, и после нее потребуется еще как-то долечивать?)

    При попытке удаления runtime2.sys средствами AVZ последний пишет, что после перезагрузки удаление будет сделано. Но не тут-то было! После нее по-прежнему avast ругается на secdrv.sys, AVZ пишет, что по-прежнему перехватываются функции.

    Протокол HijackThis, каюсь, не приложил - не успел переписать при уходе от компа, доступ к которому имеется не каждый день. Однако при изучении этого протокола не заметил ни одной строки со словом runtime2, нчего подозрительного тоже в глаза не бросилось, наверное, не там искал.

    keylogger (c именем w3knet.dll) был удален вручную (при просмотре протокола лечения был выделен флажком и после перезагрузки более не подавал признаков жизни). однако надежды на иправление проблемы с runtime2.sys после перезагрузки не оправдались...

    Может быть можно, перезагрузившись с CD, просто убить инфицированные модули и заменить на одноименные из system32 чистой машины? или есть другой более элегантный способ убиения этой гадости?

    Отмечу, что сеть не работает после первой же попытки (еще неделю назад) пролечить комп средствами NAV2003 и Avast. При выдаче ipconfig /all молчит (т.е. указывает, что сетка настраивается). Надеюсь победить это также средствами AVZ, попытавшись запустить спецкоманды для восстановления систеы.

    Заранее благодарю за ответ!
    anpspb

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    С-Петербург
    Сообщений
    32
    Вес репутации
    34

    "как удалить руткит из drivers\runtime2.sys?")

    Из приложенных файлов видно, что модуль runtime2.sys перехватывает функции. В протоколе лечения отмечено, что код перехватчика нейтрализован, но тем не менее сообщения о перехвате после перезагрузки опять появляются в протоколе syscheck (см. файл), да и антивир Avast успешно рапортует о наличии трояна в модуле secdrv.sys (который успешно был удален предварительным - до AVZ - запуском CureIt).

    (КСТАТИ - вопрос о терминах: "нейтрализован" в AVZ говорит о выполненном лечении "навсегда" или только в данном состоянии, до перезагрузки, и после нее потребуется еще как-то долечивать?)

    При попытке удаления runtime2.sys средствами AVZ последний пишет, что после перезагрузки удаление будет сделано. Но не тут-то было! После нее по-прежнему avast ругается на secdrv.sys, AVZ пишет, что по-прежнему перехватываются функции.

    Протокол HijackThis, каюсь, не приложил - не успел переписать при уходе от компа, доступ к которому имеется не каждый день. Однако при изучении этого протокола не заметил ни одной строки со словом runtime2, нчего подозрительного тоже в глаза не бросилось, наверное, не там искал.

    keylogger (c именем w3knet.dll) был удален вручную (при просмотре протокола лечения был выделен флажком и после перезагрузки более не подавал признаков жизни). однако надежды на иправление проблемы с runtime2.sys после перезагрузки не оправдались...

    Может быть можно, перезагрузившись с CD, просто убить инфицированные модули и заменить на одноименные из system32 чистой машины? или есть другой более элегантный способ убиения этой гадости?

    Отмечу, что сеть не работает после первой же попытки (еще неделю назад) пролечить комп средствами NAV2003 и Avast. При выдаче ipconfig /all молчит (т.е. указывает, что сетка настраивается). Надеюсь победить это также средствами AVZ, попытавшись запустить спецкоманды для восстановления систеы.

    Заранее благодарю за ответ!
    anpspb
    Вложения Вложения

  4. #3
    Visiting Helper Репутация
    Регистрация
    24.11.2006
    Адрес
    град Москва
    Сообщений
    80
    Вес репутации
    37
    Здравствуйте!

    1. Отключить восстановление системы.
    2. Пофиксить в HiJackThis
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,
    (если будет строчка именно в таком виде)

    3. Выполнить скрипт в AVZ:

    Код:
    begin
     BC_QrFile('D:\WINDOWS\system32\ntos.exe');
     BC_QrFile('D:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('D:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('D:\WINDOWS\web\related.htm');
     BC_DeleteFile('D:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('D:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('D:\WINDOWS\web\related.htm');
     //BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_Activate;
     SysCleanAddFile('D:\WINDOWS\web\related.htm');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

    Сделать новые логи.
    Последний раз редактировалось Trotil; 16.10.2007 в 07:23.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    http://virusinfo.info/showthread.php?t=10387 - вот этот лог еще в защищенном режиме надо будет сделать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    С-Петербург
    Сообщений
    32
    Вес репутации
    34

    большое спасибо, завтра буду бороться!

    Дорогие коллеги, Trotil и PavelA!
    Спасибо за советы, завтра буду на компе все это пробовать! Логи обязательно пришлю!

    С уважением,
    anpspb

  • Уважаемый(ая) anpspb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 13.07.2011, 00:02
    2. Ответов: 1
      Последнее сообщение: 25.01.2011, 13:43
    3. Ответов: 6
      Последнее сообщение: 14.06.2010, 15:05
    4. Virus Rootkit.win32agent.aago in "system32/drivers" can not be removed
      От Rickardt в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 29.12.2009, 08:19
    5. Ответов: 3
      Последнее сообщение: 22.12.2007, 10:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01421 seconds with 21 queries