backdoor.bulknet и Trojan.Sespy

**Brandon** · 17.07.2007, 20:19

Др. Вэб 4.33, обновление баз от 09.07.2007. Обнаруживает в ip6fw.sys - backdoor.bulknet и в y2.dll & y2(2).dll – Trojan.Sespy. Лечение или удаление второго случая приводит к полному падению IE, «Невозможно отобразить страницу» даже для файлов, сохраненных на винте, никакие танцы с бубном после этого не помогают, только виндовское восстановление системы. Первый после удаления, естественно восстанавливается руткитом.

Никакой вредной активности за червями не замечено, однако, неприятно.
Что делать, подскажите, пожалуйста?

P.S. У меня НТФС и Вин ХР СП2. Файер – Аутпост 4.0.1007. Настроен по мере моих скромных сил, т. к. смутно понимаю суть работы файера.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 17.07.2007, 20:20

Прочитать и выполнить.

**Brandon** · 17.07.2007, 21:11

Сделал, сразу не стал потому как боялся падения IE, только потом сообразил, что из карантина АВЗ этот клятый у2 ресторить можно...

**Макcим** · 17.07.2007, 21:43

Выполните скрипт в AVZ

Код:

begin
 BC_QrSvc('runtime');
 BC_QrSvc('runtime2');
 BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_QrFile('C:\WINDOWS\system32\drivers\runtime.sys');
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_Activate;
 RebootWindows(true);
end.

Потом ещё один

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\y2.dll','');
 DeleteFile('C:\WINDOWS\system32\y2.dll');  
 AutoFixSPI;
 BC_ImportDeletedList;
 BC_ImportQuarantineList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix. Утилита WinSockFix сбрасывает настройки сети. Крайне желательно их записать/запомнить.

**Brandon** · 18.07.2007, 00:00

Карантин закинул по ссылке сверху, вот логи после выполнения указанных скриптов.

**Макcим** · 18.07.2007, 00:59

Выполните скрипт в AVZ

Код:

begin
 BC_DeleteFile('C:\WINDOWS\system32\y2.dll');
 BC_Activate;
 ExecuteSysClean;
 ExecuteRepair(14);  
 RebootWindows(true);
end.

Повторите логи.

Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix. Утилита WinSockFix сбрасывает настройки сети. Крайне желательно их записать/запомнить.

**Brandon** · 18.07.2007, 01:54

Вот новые логи. В этот раз IE не упал и SockFix юзать не пришлось.
Смена в 2 заканчивается, ухожу спать. Все дальнейшие рецепты смогу применить после 7 вечера.

**Muzzle** · 18.07.2007, 04:12

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_QrSvc('AotoLogon');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteSvc('AotoLogon');
 BC_DeleteFile('C:\WINDOWS\svchost.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11121
повторите логи

**Brandon** · 18.07.2007, 19:56

Карантин скинул, вот логи.

**Muzzle** · 19.07.2007, 04:42

C:\WINDOWS\svchost.exe - Rootkit.Win32.Agent.dp (по Касперскому)
Его мы удалили,теперь в логах всё чисто.

Советую работать за компьютером с правами ограниченного пользователя.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

**Brandon** · 19.07.2007, 11:52

Muzzle,
Maxim, Спсаибо, без IE, к сожалению, не обойтись.

**Макcим** · 19.07.2007, 15:34

Тогда хотя бы заплатки ставьте.

**Brandon** · 19.07.2007, 20:00

Сообщение от Maxim

Тогда хотя бы заплатки ставьте.

Какие конкретно можете посоветовать?
Инет через диал-ап, в настройках вырублен весь АктивХ.

**CyberHelper** · 22.02.2009, 02:07

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319)
2. c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)
3. c:\\windows\\system32\\y2.dll - Trojan-Downloader.Win32.Agent.but (DrWEB: Trojan.Sespy)

backdoor.bulknet и Trojan.Sespy (заявка № 11121)

Опции темы

backdoor.bulknet и Trojan.Sespy

Итог лечения

Похожие темы

Backdoor.Bulknet и trojan.ntrootkit.248

Trojan backdoor.bulknet

Trojan.NtRootKit.248 + BackDoor.Bulknet

Backdoor.Bulknet и Trojan.NtRootKit.248

Trojan.Fakealert.1228+BackDoor.Bulknet.225+Trojan. Packed.619

Ваши права в разделе