Как быть с runtime2.sys?

У меня появился startdrv.exe. В соседней ветке
[URL]http://virusinfo.info/showthread.php?t=11215[/URL]
почитал инструкции по удалению.
Выполнил скрипты в AVZ, пофиксил ключи в Hijackthis (правда, они были немного другие, но по смыслу было понятно, что нужно фиксить).
После удаления startdrv.exe больше не появляется, но runtime2.sys остался (инфицирован Rootkit.Win32.Agent.ey). В реестре остались ключи со ссылкой на него:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\runtime2.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\runtime2.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\runtime2.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\runtime2.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\runtime2.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\runtime2.sys]
@="Driver"

Кроме того в реестре есть ключи службы runtime2, типа такого:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2\0000]
"Service"="runtime2"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="runtime2"
"Capabilities"=dword:00000000

или:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runtime2]
"DependOnGroup"="File System"

Еще есть ключи со ссылкой на несуществующий runtime.sys.

Все это как-то связано с инфицированным runtime2.sys или нет?

Если его попытаться удалить вручную, то какие ключи в реестре нужно вычистить, а какие нельзя трогать?

Для каждого случая отдельные скрипты,поэтому не стоит эксперементировать с скриптами из других тем.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINNT\system32\vbsys2.dll','');
DeleteFile('C:\WINNT\system32\vbsys2.dll');
DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин который получиться после скрипта и тот который полулся после создания логов, согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11226[/url]

На всякий случай, найди в AVZ ip6fw.sys, добавь в карантин и загрузи.
Часто бывает, что и в этом файле зараза сидит.

[quote=Muzzle;124160]Для каждого случая отдельные скрипты,поэтому не стоит эксперементировать с скриптами из других тем.[/quote]

Прошу прощения за самодеятельность, но смысл скрипта мне был понятен и я не боялся, что он мне чего-нибудь испортит.
Закачал файлы карантина.
Еще извиняюсь за дезинформацию по поводу vbsys2.dll. Эту штуку подцепил где-то год назад и сразу удалил, а вот реестр почистить забыл.
После исполнения нового скрипта runtime2.sys благополучно удалился.
Но мои вопросы по поводу реестра остаются в силе. Ключи со ссылками на runtime2.sys остались. Их, как я понимаю, все ж таки нужно удалить, а как быть с остальными?
Файла ip6fw.sys у меня на компьютере нет.

Повторите логи и всё почистим ;)

Вот новые логи.

Вышлите последний карантин по правилам.
В логах всё впорядке,только мусор осталось почистить
выполните скрипт
[CODE]
begin
SetAVZGuardStatus(true);
SysCleanAddFile('runtime2.sys');
ExecuteSysClean;
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Закачал последний карантин, но в нем нет ничего нового - все те же DAP'ские файлы, которые AVZ считает сомнительными.
Скрипт выполнил, но весь мусор в реестре остался. Ладно, почищу каким-нибудь регклинером или регадмином.

Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!

Спасибо за помощь и советы.
И вопрос по поводу сбора сомнительных файлов. Вас интересует все? А то я сделал эту коллекцию, и весит она 3 Мб (у меня диал-ап, поэтому с закачкой не все просто). И в ней, на первый взгляд, ничего интересного нет - драйверы аппаратуры и разные программные примочки типа Старфорса, элементов DAP'а и т.п. Если все это представляет интерес, то я закачаю архив по ссылке аплоада, а если нет, то не буду.

Это представляет интерес. Будет полезно и для вас в случае (не дай бог) повторного обращения, и для других страждущих. В том смысле, что глаза у хелперов будут меньше разбегаться, а значит, работа пойдёт быстрее.

Закачал файлик. Называется так:
070730_001109_virusinfo_files_MYCOMP_blap_46acf45d86cd3.zip

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]