снова startdrv.exe

[r403]

после перезагрузки возникает файл c:\windows\temp\startdrv.exe
который тут же удаляется антивирусом касперского.
КурИт узнает этот вирус как backdoor.bulknet
удаляет.... но он возвращается....

[Макcим]

Выполните скрипты в AVZ в следующем порядке:

1.

Код:

begin
 BC_QrSvc('runtime2');
 BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteSvc('runtime2');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_Activate;
 RebootWindows(true);
end.

2.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

"Пофиксите" в HijackThis

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl56bd.cab

Загрузите virus.zip из папки AVZ по этой ссылке. Повторите логи.

[r403]

вроде startdrv исчез...
СПАСИБО

[Макcим]

Повторите логи для контроля.

[r403]

новые логи.
virus.zip - послал

[Макcим]

Всё чисто. Проблема решена?

[r403]

по внешним признакам - все хорошо.
спасибо вам за невероятную оперативность и профессионализм

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)
  2. \\systemroot\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)