-
Junior Member
- Вес репутации
- 61
runtime, runtime2, startdrv, kcp... Помогите!
Комп не мой, но когда я его увидел мне стало страшно.
Там были, наверное, все вирусы, которые только существуют.
После первой волны их уничтожения остались самые стойкие.
Симптомом заражения является уже то, что AVZ пишет о перехвате функций iexplorer, из ядра не исчезают runtime и runtime2, из загрузки не пропадает startdrv.exe и прочее.
При попытке выполнить лечение AVZ в режиме противодействия рут-китам режима ядра комп молча уходит в перезагрузку. Фокус с переименовыванием AVZ не проходит.
Поэтому высылаю те логи, которые удалось получить.
Надеюсь на уважаемых гуру.
p.s. отложенное удаление runtime.sys, runtime2.sys, startdrv.exe, kcp, poof не дает положительного результата.
Последний раз редактировалось Dexer; 19.01.2010 в 08:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скрипт #1:
Код:
begin
BC_QrSvc('poof');
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_QrSvc('l33t');
BC_QrSvc('adxapie');
BC_DeleteSvc('poof');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('l33t');
BC_QrFile('C:\WINDOWS\system32\_svchost.exe');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\system32\_svchost.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.
Добавлено через 2 минуты
Скрипт #2:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\drivers\Hdq44.sys','');
DeleteFile('C:\windows\system32\drivers\Hdq44.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После этого пришлите карантин согласно приложению 3 правил и сделайте новые логи.
Последний раз редактировалось Bratez; 09.11.2007 в 17:57.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Карантин выслал.
В результате выполнения второго скрипта комп сначала завис, а потом ушел в перезагрузку.
AVZ уже не пишет о перехвате функций iexplorer, но при попытке запуска с противодействием руткитам ядра ругается на Hdq44.sys и повторяет эффект второго скрипта.
-
В карантине пусто... повторите логи
-
-
Антивирус надо отключить.
Попробуем такой вариант:
Код:
begin
BC_QrSvc('Hdq44');
BC_DeleteSvc('Hdq44');
BC_QrFile('C:\windows\system32\drivers\Hdq44.sys');
BC_DeleteFile('C:\windows\system32\drivers\Hdq44.sys');
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-