runtime, runtime2, startdrv, kcp... Помогите!

Printable View

09.11.2007, 17:46
Dexer

runtime, runtime2, startdrv, kcp... Помогите!

Комп не мой, но когда я его увидел мне стало страшно.
Там были, наверное, все вирусы, которые только существуют.
После первой волны их уничтожения остались самые стойкие.
Симптомом заражения является уже то, что AVZ пишет о перехвате функций iexplorer, из ядра не исчезают runtime и runtime2, из загрузки не пропадает startdrv.exe и прочее.
При попытке выполнить лечение AVZ в режиме противодействия рут-китам режима ядра комп молча уходит в перезагрузку. Фокус с переименовыванием AVZ не проходит.
Поэтому высылаю те логи, которые удалось получить.
Надеюсь на уважаемых гуру.

p.s. отложенное удаление runtime.sys, runtime2.sys, startdrv.exe, kcp, poof не дает положительного результата.
09.11.2007, 17:57
Bratez

Скрипт #1:
[code]
begin
BC_QrSvc('poof');
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_QrSvc('l33t');
BC_QrSvc('adxapie');
BC_DeleteSvc('poof');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('l33t');
BC_QrFile('C:\WINDOWS\system32\_svchost.exe');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\system32\_svchost.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Скрипт #2:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\drivers\Hdq44.sys','');
DeleteFile('C:\windows\system32\drivers\Hdq44.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После этого пришлите карантин согласно приложению 3 правил и сделайте новые логи.
12.11.2007, 17:27
Dexer

Карантин выслал.
В результате выполнения второго скрипта комп сначала завис, а потом ушел в перезагрузку.
AVZ уже не пишет о перехвате функций iexplorer, но при попытке запуска с противодействием руткитам ядра ругается на Hdq44.sys и повторяет эффект второго скрипта.
12.11.2007, 17:35
rubin

В карантине пусто... повторите логи
13.11.2007, 10:07
PavelA

Антивирус надо отключить.
Попробуем такой вариант:
[CODE]begin
BC_QrSvc('Hdq44');
BC_DeleteSvc('Hdq44');
BC_QrFile('C:\windows\system32\drivers\Hdq44.sys');
BC_DeleteFile('C:\windows\system32\drivers\Hdq44.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
22.02.2009, 02:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]