Из приложенных файлов видно, что модуль runtime2.sys перехватывает функции. В протоколе лечения отмечено, что код перехватчика нейтрализован, но тем не менее сообщения о перехвате после перезагрузки опять появляются в протоколе syscheck (см. файл), да и антивир Avast успешно рапортует о наличии трояна в модуле secdrv.sys (который успешно был удален предварительным - до AVZ - запуском CureIt).
(КСТАТИ - вопрос о терминах: "нейтрализован" в AVZ говорит о выполненном лечении "навсегда" или только в данном состоянии, до перезагрузки, и после нее потребуется еще как-то долечивать?)
При попытке удаления runtime2.sys средствами AVZ последний пишет, что после перезагрузки удаление будет сделано. Но не тут-то было! После нее по-прежнему avast ругается на secdrv.sys, AVZ пишет, что по-прежнему перехватываются функции.
Протокол HijackThis, каюсь, не приложил - не успел переписать при уходе от компа, доступ к которому имеется не каждый день. Однако при изучении этого протокола не заметил ни одной строки со словом runtime2, нчего подозрительного тоже в глаза не бросилось, наверное, не там искал.
keylogger (c именем w3knet.dll) был удален вручную (при просмотре протокола лечения был выделен флажком и после перезагрузки более не подавал признаков жизни). однако надежды на иправление проблемы с runtime2.sys после перезагрузки не оправдались...
Может быть можно, перезагрузившись с CD, просто убить инфицированные модули и заменить на одноименные из system32 чистой машины? или есть другой более элегантный способ убиения этой гадости?
Отмечу, что сеть не работает после первой же попытки (еще неделю назад) пролечить комп средствами NAV2003 и Avast. При выдаче ipconfig /all молчит (т.е. указывает, что сетка настраивается). Надеюсь победить это также средствами AVZ, попытавшись запустить спецкоманды для восстановления систеы.
Заранее благодарю за ответ!
anpspb
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Из приложенных файлов видно, что модуль runtime2.sys перехватывает функции. В протоколе лечения отмечено, что код перехватчика нейтрализован, но тем не менее сообщения о перехвате после перезагрузки опять появляются в протоколе syscheck (см. файл), да и антивир Avast успешно рапортует о наличии трояна в модуле secdrv.sys (который успешно был удален предварительным - до AVZ - запуском CureIt).
(КСТАТИ - вопрос о терминах: "нейтрализован" в AVZ говорит о выполненном лечении "навсегда" или только в данном состоянии, до перезагрузки, и после нее потребуется еще как-то долечивать?)
При попытке удаления runtime2.sys средствами AVZ последний пишет, что после перезагрузки удаление будет сделано. Но не тут-то было! После нее по-прежнему avast ругается на secdrv.sys, AVZ пишет, что по-прежнему перехватываются функции.
Протокол HijackThis, каюсь, не приложил - не успел переписать при уходе от компа, доступ к которому имеется не каждый день. Однако при изучении этого протокола не заметил ни одной строки со словом runtime2, нчего подозрительного тоже в глаза не бросилось, наверное, не там искал.
keylogger (c именем w3knet.dll) был удален вручную (при просмотре протокола лечения был выделен флажком и после перезагрузки более не подавал признаков жизни). однако надежды на иправление проблемы с runtime2.sys после перезагрузки не оправдались...
Может быть можно, перезагрузившись с CD, просто убить инфицированные модули и заменить на одноименные из system32 чистой машины? или есть другой более элегантный способ убиения этой гадости?
Отмечу, что сеть не работает после первой же попытки (еще неделю назад) пролечить комп средствами NAV2003 и Avast. При выдаче ipconfig /all молчит (т.е. указывает, что сетка настраивается). Надеюсь победить это также средствами AVZ, попытавшись запустить спецкоманды для восстановления систеы.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Сделать новые логи.
Последний раз редактировалось Trotil; 16.10.2007 в 07:23.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: