Неудаляемый rootkit?...

**Kerner** · 25.07.2008, 22:46

Здравствуйте!
Возникла следующая проблема. Несмотря на то что не один раз и полностью проверял комп CureiT, стали постоянно появляться трояны по 1-2 штуки.
Скачал AVZ, проверил - он мне удалил ещё 2 штуки из необнаруженных.
Дальше решил делать как указано по инструкции на форуме. Первый скрипт для сбора информации, был выполнен. Второй я выполнить не смог - на этапе проверки диска выполнение прерывалось и компьютер перезагружался (попробовал сделать этап повторно - та же самая картина).
Сверх этого могу добавить - попытался избавиться от проблемы программой "Trojan Remover" - тоже не помогло.
Что посоветуете в данной ситуации?
Благодарю за ответ.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 25.07.2008, 22:50

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('USB2_04');
 QuarantineFile('C:\WINDOWS\System32\drivers\nkv2.sys','');
 QuarantineFile('C:\WINDOWS\mmhren1.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Osx48.sys','');
 DeleteService('Osx48');
 DeleteService('Nrv48');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nrv48.sys','');
 DeleteService('Windows Inet Control Service');
 QuarantineFile('C:\WINDOWS\TEMP\FF.tmp -srv','');
 QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
 DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 DeleteFile('C:\WINDOWS\TEMP\FF.tmp -srv');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nrv48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Osx48.sys');
 DeleteFile('C:\WINDOWS\mmhren1.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\nkv2.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
сделайте полный комплект логов ...

**Kerner** · 25.07.2008, 23:50

[/code]пришлите карантин согласно приложения 3 правил ....
сделайте полный комплект логов ...[/quote]
Скрипт выполнил, логи смог сделать полностью - перезагрузки во время выполнения скриптов не было. Файл закачал.
Всё правильно?

**V_Bond** · 26.07.2008, 00:14

Trojan Remover - деисталировать ... как бесполезный
запустите авз от имени администратора (правой кнопкой)
выполните скрипт ....

Код:

 begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 BC_DeleteSvc('USB2_04');
 BC_DeleteSvc('Osx48');
 BC_DeleteSvc('Nrv48');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('Windows Inet Control Service');
 DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 DeleteFile('C:\WINDOWS\TEMP\FF.tmp -srv');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nrv48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Osx48.sys');
 DeleteFile('C:\WINDOWS\mmhren1.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\nkv2.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
сделайте полный комплект логов ...

**Kerner** · 26.07.2008, 09:08

Trojan Remover - удалил.
Запустить AVZ от имени 'администратора' не смог (правая кнопка мыши > запуск от имени), проскольку пользователь сам является администратором. Скрипт присланный вами был выполнен нормально, сразу после него пошла перезагрузка.
Далее стандартный скрипт дважды не хотел выполняться, запускал два раза и дважды он перезагружал компьютер, причём оба раза был 'синий экран'. В третий раз для интереса (будет работать или нет?) зашёл в безопасный режим и выполнил - всё прошло нормально. После вышел из safemod'a и выполнил его в нормальном режиме - логи высылаю.
В карантине новых файлов не обнаружено.
Всё ли правильно? Что дальше?

PS: после второго раза успел заметить что AVZ удалил какой-то троян и дальше при выполнении проверки диска пошла перезагрузка.

**Rene-gad** · 26.07.2008, 13:42

В логах чисто.
Но при таком состоянии системы

Код:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

чистота продержится минут 20, не больше.
Ссылки на Сервис Пак 3 Вы найдете в моей подписи.

**Kerner** · 26.07.2008, 16:50

Спасибо! Сейчас поставлю на закачку SP3...
Исследовал систему - runtime.sys и runtime2.sys удалены.
Остался только один вопрос.
В логах была отмечена модификация машинного кода для некоторых функций. Это как раз и исправится сервис-паком?

**V_Bond** · 26.07.2008, 17:02

Сообщение от Kerner

В логах была отмечена модификация машинного кода для некоторых функций.

во первых не увидел такового , во вторых кто сказал что єто обязвтельно плохо ... ? ну а система действительно у вас кривая после установки сп 3 сделайте логи ...

**Kerner** · 26.07.2008, 23:18

Пока, к сожалению SP3 нормально встать не захотел... Подробностей не буду говорить, т.к. подобная тема не для этого раздела форума. Ну да ладно, разберёмся и с этим.
Спасибо за помощь! Очень рад что подобный форум существует в Сети.

**CyberHelper** · 22.02.2009, 06:47

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Неудаляемый rootkit?... (заявка № 27084)

Опции темы

Неудаляемый rootkit?...

Итог лечения

Похожие темы

Неудаляемый вирус

Неудаляемый вирус

Неудаляемый вирус

Неудаляемый .SYS

Неудаляемый троян

Ваши права в разделе