arm32.dll убил AVZ?

Printable View

02.08.2007, 02:48
shdwlr

arm32.dll убил AVZ?

Ситуация.
Несколько дней назад запускаю AVZ и получаю BSOD с сообщением:

stop at 0000008e (c0000005, f7407640, ba7c7b80 /эти два числа бывали и немного другими/, 0000000)

fastfat.sys - address f7407640 base at f7407000 /тоже бывали немного другими/, datestamp 41107eb7.

повторяется 100%. если выключить детект перехватчиков api и rootkit, все работает, но ничего интересного не сообщает.

запускаюсь в safemode. работает и выдает интересное сообщение - что-то вроде "прямой доступ к arm32.dll", не красным. лезу на форумы, вспоминаю иногда выплывавший в виндовском брандмауэере lsass.exe и вроде как понимаю источник проблемы.

загружаюсь во вторую ОС, прибиваю arm32.dll, прибиваю его ветку в реестре, прибиваю lsass и csrss - вроде все работает, вроде все отлично.

запускаю AVZ - снова BSOD.

в safe mode - пишет красным "ошибка обмена с драйвером [00000002] - [1]", примерно тогда же, когда в обычном режиме падаем. запускаем в safe mode сервис>модули пространства ядра - снова BSOD.

переименовываю, как писали, avz, пытаюсь "исследовать систему" в safe mode - BSOD. скрипт, делающий лог для "правил" - BSOD (в обычном режиме - сразу, в безопасном - после проверки диска).

короче, на данный момент ситуация выглядит так: троян вроде убит, его файлы или ветка в реестре не возрождалась, ни единого вируса dr.web и cureit (сегодня обновленные) нигде не находят - но любые попытки AVZ добраться до ядра вызывают BSOD.

...да, по ходу дела в safe mode еще несколько раз всплывал startdrv.exe в temp. несколько раз убился и перестал. в реестре есть ветки от runtime2.sys, однако самого runtime2.sys нигде не видать. ветки при этом не удалить регэдитом - как бы это сделать?

логи по понятным причинам приложить не могу :(
02.08.2007, 03:21
Muzzle

давайте лог [B]HijackThis[/B] и дополнительный лог как сказано тут
[url]http://www.virusinfo.info/showthread.php?t=10387[/url]
02.08.2007, 03:48
shdwlr

Вложений: 1

дополнительный лог не сделать - BSOD в процессе "исследования системы".
02.08.2007, 04:16
Muzzle

сделайте проверку диска
пуск--выполнить--cmd--- chkdsk /f
а после выполните такой скрипт
[CODE]begin
BC_QrFile('D:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('D:\WINDOWS\system32\drivers\runtime.sys');
BC_QrFile('D:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrFile('D:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.[/CODE]
и попробуйте сделать логи
03.08.2007, 11:55
shdwlr

Вложений: 3

Спасибо, заработало, AVZ положил в карантин runtime2.sys и потом ожил. BSOD больше нет. Вот логи. Карантин с runtime2.sys, ip6fw.sys и отмеченным в качестве подозрительного WGDRVR32.DLL (это драйвер софтварного эмулятора wavetable-аудиокарты) нужны?

(...убить ветки от runtime в HKLM/system/currentcontrolset/enum/root - по-прежнему не получается =( )
03.08.2007, 12:48
Muzzle

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\Drivers\whiskeyb.sys','');
QuarantineFile('d:\windows\lsass.exe','');
DeleteFile('d:\windows\lsass.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Пришлите старый и новый карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11497[/url]
03.08.2007, 15:36
shdwlr

whiskeyb.sys - это драйвер Alcohol 120, я его при установке так обозвал :) А lsass.exe удален давно, только в реестре хитро заныканная строчка осталась... Приду домой - сделаю и залью карантины.