Добрый вечер!

У меня система приблизительно через пол часа работы сваливается с синим экраном. Ошибка DRIVER_IRQL_NOT_LESS_OR_EQUAL 0х000000D1 с руганью на runtime.sys (adress F7B816E7 base at F7B81000).

Др. веб находит system32/drivers/ip6fw.sys зараженным BackDoor.Bulknet
После удаления и перезагрузки файл появляется снова.

Что нужно сделать в моем случае?

Спасибо!

Прилагаемые файлы.

Выполните (http://virusinfo.info/showthread.php?t=7239) скрипт в AVZ

begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sy s');
BC_QrFile('C:\WINDOWS\System32\drivers\runtime.sys ');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime 2.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime .sys');
BC_Activate;
RebootWindows(true);
end.Пришлите файлы карантина по правилам (http://virusinfo.info/showthread.php?t=1235) раздела "Помогите". Повторите логи.

Выслать только
startdrv.exe
runtime2.sys
runtime.sys

или все что есть в карантине?

И еще я выполнил второй скрипт который был в теме, но которого уже нет

Второй скрипт убрал за ненадобностью. Присылайте все что есть в карантине по правилам (http://virusinfo.info/showthread.php?t=1235).

Закачался архив?

Закачался архив?Да, только я не могу понять почему он такой большой :?

"Пофиксите" (http://www.virusinfo.info/showthread.php?t=4491) в HijackThis
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
Проблема решена?

P.S.: У Вас установлен антивирус & файрвол? По логам не скажешь...

Скинул все что было.
Установлен др.веб с последними обновлениями. Фаервол - AtGuard. Виндосовский отключен и остановлен.

Профиксил. Перегрузился. На проверке папки вируса не обнаруживает. Сейчас буду работать и смотреть за системой, упадет или нет.

Спасибо!

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
Пофиксить - это здорово, а файлик-то не удалили!
Выполните скрипт:


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

И еще io.sys какой-то в логах болтается, пришлите пожалуйста согласно приложению 2 правил:
C:\WINDOWS\system32\drivers\io.sys

Пофиксить - это здорово, а файлик-то не удалили!Удалили, просто запись в реестре осталась.
Если startdrv.exe попал в карантин, то он был чистый...

avz00003.dta - Rootkit.Win32.Agent.dp
bcqr00002.dat - Rootkit.Win32.Agent.ey (По Kaspersky)

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 11
В ходе лечения обнаружены вредоносные программы:

c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319)
c:\\windows\\temp\\startdrv.exe - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)