Trojan backdoor.bulknet

[AlexanderL]

Здравствуйте! сначала аваст нашел три вируса:
win32:Trojan-gen живет в ip6fw.sys
win32:Agent-HKE создает random.exe в temp
win32:small-EPJ - там же.
обчитавшись всего и везде вроде бы добился того, что аваст и drwebcureit не видят угроз в ip6fw, а также не появляются random.exe. однако cureit регулярно в защищенном и незащищенном режиме находит и удаляет windows/temp/startdrv.exe.
кроме того, при запуске avz во второй раз (пункт 10 правил) вместо кнопок черные поля, в окне скриптов пусто, кнопки по одкном скриптов тоже черные, поэтому приложить virusinfo_syscheck.zip не смог.
и еще вопрос - чтобы словить эту дрянь обязательно было что-то заупстить, или все-таки достаточно зайти не на тот сайт и все словится "само"?

[Alex_Goodwin]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\docume~1\alex\locals~1\temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteSvc('runtime2');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('c:\docume~1\alex\locals~1\temp\winlogon.exe');
 ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.

После попытайтесь сделать полные логи.
Пофиксить:

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Alex\LOCALS~1\Temp\winlogon.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe

[Bratez]

msvcrtd.exe - свежая зараза, пока большинством антивирусов не ловится.
Сегодня лечил такую на работе - открывает кучу портов и тормозит интернет по-черному

После выполнения скрипта от Alex_Goodwin выполните такой скрипт:

Код:

begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\msvcrtd.exe');
BC_QrSvc('msupdate');
BC_DeleteSvc('msupdate');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин согласно приложению 3 правил
и сделайте новые логи.

P.S. Мой экземпляр msvcrtd.exe только что добавлен в базу Касперского под именем Backdoor.Win32.Agent.apx.

[AlexanderL]

а это круто! - быть подопытным кроликом, я даже почти горд тем, что словил дрянь одним из первых
1. AVZ скрипт не вставлял, кнопки некоторые были черными. пришлось раскрутить вторую копию в другое место. после этого скрипт прошел.
2. hijack: О4 после прогонки скрипта AVZ уже не было, а О23 пофиксил.
3. запустить скрипт Bratez не удалось (в том числе после перезагрузки) ошибка: "not enough actual parameters в позиции 4:15"
4. после все этих манипуляций комп стал нормально перегружаться (до этого вис на этапе сохранения параметров) и удалось получить все логи!

[AndreyKa]

Подправил скрипт Bratez:

Код:

begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\msvcrtd.exe', '');
BC_QrSvc('msupdate');
BC_DeleteSvc('msupdate');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_Activate;
RebootWindows(true);
end.

[AlexanderL]

файл карантина я выслал, а логи еще раз делать-высылать?

[Alex_Goodwin]

Скрипт AndreyKa выполнили? Если да, то все логи заново.

[AlexanderL]

да, скрипт AndreyKa выполнил. карантин после него уже выслал. а вот и логи.

[Bratez]

У вас был такой же - Backdoor.Win32.Agent.apx
В логах теперь все чисто.

[AlexanderL]

Здорово! Спасибо! у меня наконец трафик входящий превысил исходящий ) а то я отдавал в 10 раз больше,чем принимал.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\msvcrtd.exe - Backdoor.Win32.Agent.apx (DrWEB: Trojan.Packed.166)