Помогите удалить runtime2.sys

Printable View

27.10.2007, 21:59
Хельга

Помогите удалить runtime2.sys

Помогите удалить runtime2.sys. Все время восстанавливается при запуске експлоера.
27.10.2007, 22:11
V_Bond

пофиксите......
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
[/code]
выполните скрипт..
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_QrFile('C:\WINDOWS\system32\ntos.exe','');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи
27.10.2007, 22:30
Хельга

новые логи
27.10.2007, 22:57
V_Bond

пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите лог HijackThis...
27.10.2007, 23:32
Хельга

выкладываю лог
28.10.2007, 01:47
AndreyKa

Троян уже не должен беспокоить. Антивирус теперь молчит?
Вот только вы не прислали карантин, о чём вас просил V_Bond во 2-м сообщении.
При создании архива карантина отключите антивирус. Карантин загрузите по ссылке:
[url]http://virusinfo.info/upload_virus.php?tid=13607[/url]
Подробности в Правилах.

Для зачистки мусора выполните в AVZ скрипт:
[code]
begin
SetAVZGuardStatus(True);
SysCleanAddFile('C:\WINDOWS\Temp\startdrv.exe');
SetServiceStart('FCI', 4);
DeleteService('FCI', true);
ExecuteSysClean;
SetAVZGuardStatus(False);
end.
[/code]
29.10.2007, 17:37
Хельга

Спасибо большое за помощь - вирус действительно больше не беспокоит. Про то что нужны файлы из карантина не заметила (так что отправила сейчас).