При проверке DrWeb-ом обнаружились зараженные файлы:
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\Temp\startdrv.exe
Файл ip6fw.sys мне удалось заменить здоровым из папки dllcache, DrWeb перестал на него ругаться. Проблема с этим файлом решикась, как мне кажется.
Для файла runtime2.sys в "Безопасности" для всех пользователей я снял все разрешения и выставил все запреты. После перезагрузки файл удалось удалить.
Файл startdrv.exe - удаляется без проблем, но после перезагрузки восстанавливается. На данный момент я снял с него все разрешения и выставил все запреты. Но к сожалению, не могу судить насколько это окажется действенно для вируса.
Перед выполнением всех манипуляций с файлами восстановление системы было отключено.
Так же обнаружил, что реестре самовосстанавливаются после перезагрузки следующие ветки (это происходить уже после того как файл runtime2.sys был удален):
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\r untime2]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Minimal\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Network\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\r untime2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\runtime2.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\runtime2]
А вот эти ветки система не дает удалять, говорит: "Ошибка удаления раздела"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_RUNTIME2]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_RUNTIME2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RUNTIME2]
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Систему проверил DrWeb-ом - вирусов обнаружено не было.
Единственно хотел отметить, что при выполнения двух последних скриптов в начале процесса перезагрузки - система висла намертво, помогал только reset. Так должно быть ? В дальнейшем, при повторных перезагрузках, ни каких проблем не наблюдалось.
В любом случае, всем кто мне помогал, хочу сказать большое спасибо! Было приятно иметь с вами дело
P.S. У меня в методах оповещения было выставлено "Моментальное уведомление на email" - однако ни одного уведомления на мой майл так и не пришло.
O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - (no file)
O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - (no file)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: