У меня появился startdrv.exe. В соседней ветке http://virusinfo.info/showthread.php?t=11215
почитал инструкции по удалению.
Выполнил скрипты в AVZ, пофиксил ключи в Hijackthis (правда, они были немного другие, но по смыслу было понятно, что нужно фиксить).
После удаления startdrv.exe больше не появляется, но runtime2.sys остался (инфицирован Rootkit.Win32.Agent.ey). В реестре остались ключи со ссылкой на него:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\runtime2.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\runtime2.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Minimal\runtime2.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Network\runtime2.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\runtime2.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\runtime2.sys]
@="Driver"
Кроме того в реестре есть ключи службы runtime2, типа такого:
Еще есть ключи со ссылкой на несуществующий runtime.sys.
Все это как-то связано с инфицированным runtime2.sys или нет?
Если его попытаться удалить вручную, то какие ключи в реестре нужно вычистить, а какие нельзя трогать?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения скрипта компьютер перезагрузится.
Прислать карантин который получиться после скрипта и тот который полулся после создания логов, согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11226
Для каждого случая отдельные скрипты,поэтому не стоит эксперементировать с скриптами из других тем.
Прошу прощения за самодеятельность, но смысл скрипта мне был понятен и я не боялся, что он мне чего-нибудь испортит.
Закачал файлы карантина.
Еще извиняюсь за дезинформацию по поводу vbsys2.dll. Эту штуку подцепил где-то год назад и сразу удалил, а вот реестр почистить забыл.
После исполнения нового скрипта runtime2.sys благополучно удалился.
Но мои вопросы по поводу реестра остаются в силе. Ключи со ссылками на runtime2.sys остались. Их, как я понимаю, все ж таки нужно удалить, а как быть с остальными?
Файла ip6fw.sys у меня на компьютере нет.
Закачал последний карантин, но в нем нет ничего нового - все те же DAP'ские файлы, которые AVZ считает сомнительными.
Скрипт выполнил, но весь мусор в реестре остался. Ладно, почищу каким-нибудь регклинером или регадмином.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Спасибо за помощь и советы.
И вопрос по поводу сбора сомнительных файлов. Вас интересует все? А то я сделал эту коллекцию, и весит она 3 Мб (у меня диал-ап, поэтому с закачкой не все просто). И в ней, на первый взгляд, ничего интересного нет - драйверы аппаратуры и разные программные примочки типа Старфорса, элементов DAP'а и т.п. Если все это представляет интерес, то я закачаю архив по ссылке аплоада, а если нет, то не буду.
Это представляет интерес. Будет полезно и для вас в случае (не дай бог) повторного обращения, и для других страждущих. В том смысле, что глаза у хелперов будут меньше разбегаться, а значит, работа пойдёт быстрее.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: