Printable View
Какой-то руткит на компе обнаружил в файле runtime2.sys. Гад стал при каждой загрузке убивать бут сектор диска C. Тут нашел решение, почистил avz'ом все что нужно. Вроде бут сектор не убивается. По видимому что-то еще осталось пофиксить в хайджеке. Посмотрите пожалуйста и подскажите осталось ли что от виря?
Обновить базы AVZ.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
BC_DeleteSvc('runtime.sys');
BC_DeleteSvc('runtime2.sys');
QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys','');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по ссылке вверху темы.
Обновить Виндовс. Поставить SP2 + заплатки после него.
Обновить антивирус.
Файлы залил 070704_121416_virus_468b56d9006d3.zip. Карантинил их еще ранее. Скрипт предложенный выполнил, но в карантин ничего нового не добавилось (0 размер уже).
И все-таки в HiJackThis стоит что-либо фиксить?
Давай новый комплект логов. Посмотрим, что осталось.
Что фиксить, смотри в конце сообщения #2 ;)
[size="1"][color="#666686"][B]Добавлено через 5 минут[/B][/color][/size]
C:\WINDOWS\System32\USERV.EXE - поискать в AVZ, добавить в карантин и прислать.
070704_133318_userv_468b695ea17c1.zip
Также где-то на диске были файлики с подозрением на троян с таким же размером как и userv.exe, они также в карантине.
выполните пока этот скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
счас карантин проверю и скажу что делать дальше.
Выполнил, жду.
"Восстановление системы" отключено? А то Фениксы восстают из пепла.
Отключал недавно, включил когда думал что все почищено. Но сейчас опять отключил.
Покопался в ресурсах userv.exe - похоже что ничего зловредного, какой-то менеджер лицензий Kodeks. Но смущает пару строк в файле: "Knock-knock!" и "Here_i_am!" :P
[QUOTE='NStorm;120338']Покопался в ресурсах userv.exe - похоже что ничего зловредного, какой-то менеджер лицензий Kodeks. Но смущает пару строк в файле: "Knock-knock!" и "Here_i_am!" [/QUOTE]
Я его проверил на virustotal. Никто его не знает. Хотя в гугл есть пара ссылок на то, что это вирус.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\systemroot\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]