Trojan backdoor.bulknet

Здравствуйте! сначала аваст нашел три вируса:
win32:Trojan-gen живет в ip6fw.sys
win32:Agent-HKE создает random.exe в temp
win32:small-EPJ - там же.
обчитавшись всего и везде вроде бы добился того, что аваст и drwebcureit не видят угроз в ip6fw, а также не появляются random.exe. однако cureit регулярно в защищенном и незащищенном режиме находит и удаляет windows/temp/startdrv.exe.
кроме того, при запуске avz во второй раз (пункт 10 правил) вместо кнопок черные поля, в окне скриптов пусто, кнопки по одкном скриптов тоже черные, поэтому приложить [I][B]virusinfo_syscheck.zip[/B][/I] не смог.
и еще вопрос - чтобы словить эту дрянь обязательно было что-то заупстить, или все-таки достаточно зайти не на тот сайт и все словится "само"?

Выполните скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\docume~1\alex\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('c:\docume~1\alex\locals~1\temp\winlogon.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После попытайтесь сделать полные логи.
Пофиксить:
[QUOTE]O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Alex\LOCALS~1\Temp\winlogon.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe[/QUOTE]

[B]msvcrtd.exe [/B]- свежая зараза, пока большинством антивирусов не ловится.
Сегодня лечил такую на работе - открывает кучу портов и тормозит интернет по-черному ;)

После выполнения скрипта от [B]Alex_Goodwin [/B]выполните такой скрипт:
[code]
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\msvcrtd.exe');
BC_QrSvc('msupdate');
BC_DeleteSvc('msupdate');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил
и сделайте новые логи.

[COLOR="DarkGreen"]P.S. Мой экземпляр [B]msvcrtd.exe[/B] только что добавлен в базу Касперского под именем [B]Backdoor.Win32.Agent.apx[/B].[/COLOR]

а это круто! - быть подопытным кроликом, я даже почти горд тем, что словил дрянь одним из первых :)
1. AVZ скрипт не вставлял, кнопки некоторые были черными. пришлось раскрутить вторую копию в другое место. после этого скрипт прошел.
2. hijack: О4 после прогонки скрипта AVZ уже не было, а О23 пофиксил.
3. запустить скрипт Bratez не удалось (в том числе после перезагрузки) ошибка: "not enough actual parameters в позиции 4:15"
4. после все этих манипуляций комп стал нормально перегружаться (до этого вис на этапе сохранения параметров) и удалось получить все логи!

Подправил скрипт Bratez:
[code]
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\msvcrtd.exe', '');
BC_QrSvc('msupdate');
BC_DeleteSvc('msupdate');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_Activate;
RebootWindows(true);
end.
[/code]

файл карантина я выслал, а логи еще раз делать-высылать?

Скрипт AndreyKa выполнили? Если да, то все логи заново.

да, скрипт AndreyKa выполнил. карантин после него уже выслал. а вот и логи.

У вас был такой же - [B]Backdoor.Win32.Agent.apx[/B] ;)
В логах теперь все чисто.

Здорово! Спасибо! у меня наконец трафик входящий превысил исходящий :)) а то я отдавал в 10 раз больше,чем принимал.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\msvcrtd.exe - [B]Backdoor.Win32.Agent.apx[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]