BackDoor.Bulknet (он же Trojan-Downloader.Win32.Agent.brk?) - прошу помочь.

(вот эта дрянь сама вставилась: "w w w . b l a k o p . h k ")
=======================
После перезагрузки в папке C:\WINDOWS\Temp создается файл startdrv.еxe. DrWeb его опознает как зараженный BackDoor.Bulknet,
Касперский и F-Secure как Trojan-Downloader.Win32.Agent.brk (проверка на VirusTotal.com).
Из вредных действий заметен только большой исходящий трафик (чуть больше входящего).
Насколько я понял, идет автозапуск из реестра, а злобные модули это runtime2.sys и lanmandrv.sys.
Прошу помощи специалистов, чтобы не снести что полезное.

@tenzor
Выполните скрипт:
[QUOTE]begin
QuarantineFile('c:\windows\system32\tskill.dll','');
QuarantineFile('atiddaxx.dll','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('\??\C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\system32\RPCRT3.dll','');
QuarantineFile('C:\WINDOWS\System32\rsvp322.dll','');
QuarantineFile('C:\WINDOWS\System32\ocxapi.dll','');
QuarantineFile('c:\windows\system32\ocxloader.exe','');
end.[/QUOTE]
и закачайте карантин по правилам

w w w . b l a k o p . h k[SIZE=2][SIZE=2][COLOR=#ff0000][COLOR=black]Файлы из карантина отправляю, правильный лог в приложении.[/COLOR]

=================================================
Ошибка карантина файла "c:\windows\system32\tskill.dll[COLOR=black]",[/COLOR] попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "c:\windows\system32\tskill.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "atiddaxx.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "atiddaxx.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "\SystemRoot\system32\drivers\runtime2.sys", попытка прямого чтения
Ошибка карантина файла "C:\WINDOWS\system32\drivers\runtime2.sys", попытка прямого чтения
Ошибка карантина файла "\??\C:\WINDOWS\System32\lanmandrv. sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\System32\lanmandrv. sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
[/COLOR][/SIZE][SIZE=2]Файл "C:\WINDOWS\system32\RPCRT3.dll" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\system32\rpcrt3.dll
Файл "C:\WINDOWS\System32\rsvp322.dll" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\System32\rsvp322.dll
Файл "C:\WINDOWS\System32\ocxapi.dll" успешно помещен в карантин
Файл "c:\windows\system32\ocxloader.exe" успешно помещен в карантин

@tenzor
не попавшие файлы поместите в карантин вручную: АВЗ-Службы-Найти файл, отметить, Поместить в карантин. Удалять будем все разом ;)

Если я правильно понял, надо использовать "Диспетчер служб и драйверов". В списке нашел только два файла – один из них lanmandrv. sys добавился в карантин, а runtime2.sys - нет (опять попытка прямого чтения).
Файлы c:\windows\system32\tskill.dll и atiddaxx.dll в списке "Диспетчера служб и драйверов" отсутствуют.
Карантин загружаю.

Антивирус при попытках карантина отключали?

Давай попробуем так:
[CODE]begin
SetAVZGuardStatus(True);
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
SysCleanAddFile('atiddaxx.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Для начала убьем одного и мусор.
Затем в Safe Mode след. скрипт.
[CODE]
begin
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\System32\rsvp322.dll','');
QuarantineFile('C:\WINDOWS\System32\RPCRT3.dll','');
QuarantineFile('C:\WINDOWS\System32\ocxloader.exe','');
end.
[/CODE]
Карантин надо будет прислать.

Плюс, скорее понадобиться [url]http://www.softpedia.com/progDownload/WinSockFix-Download-15337.html[/url]
Ее необходимо скачать заранее.

w w w . b l a k o p . h kАвтоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atiddaxx,DLLName,atiddaxx.dll
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atiddaxx,DLLName,atiddaxx.dll


Ошибка карантина файла "\??\C:\WINDOWS\System32\lanmandrv.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Файл "C:\WINDOWS\System32\lanmandrv.sys" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\System32\lanmandrv.sys
Файл "C:\WINDOWS\System32\rsvp322.dll" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\System32\rsvp322.dll
Файл "C:\WINDOWS\System32\RPCRT3.dll" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\System32\rpcrt3.dll
Файл "C:\WINDOWS\System32\ocxloader.exe" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\System32\ocxloader.exe
.

lanmandrv.sys - инфицирован Rootkit.Win32.Agent.ec
rsvp322.dll - инфицирован Email-Worm.Win32.Zhelatin.fb
RPCRT3.dll - инфицирован Email-Worm.Win32.Zhelatin.fb
ocxloader.exe - инфицирован Trojan-Spy.Win32.Banker.cij
(по Касперскому )

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\System32\ocxloader.exe');
DeleteFile('C:\WINDOWS\System32\RPCRT3.dll');
DeleteFile('C:\WINDOWS\System32\rsvp322.dll');
BC_DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
BC_DeleteFile('C:\WINDOWS\System32\ocxloader.exe');
BC_DeleteFile('C:\WINDOWS\System32\RPCRT3.dll');
BC_DeleteFile('C:\WINDOWS\System32\rsvp322.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Повторите логи.

Скрипт выполнил.
После перезагрузки запускал winsockfix, который пообещал, что все будет хорошо.:)
Сейчас комп грузится, работы с сетью нет, в папке "сетевые подключения" пусто совсем. :?
Сетевая карта в диспетчере задач присутствует нормально. Посему пишу с другого компа.
Планирую установить XP сверху, надеюсь, что при установке восстановятся поврежденные/удаленные файлы. Логи смогу прислать только вечером (и XP тоже вечером буду ставить).

не торопитесь с переустановкой!
выполните скрипт
[CODE]begin
ExecuteRepair(14);
end.[/CODE]
если сети так и не будет, то выполните
[CODE]begin
ExecuteRepair(15);
end.[/CODE]

системные файлы можно восстановить
пуск--выполнить--cmd--sfc /scannow

потребуется диск с вашей копией windows.

Восстановление ExecuteRepair(14) и (15) сделал, сеть не появилась.
Вечерком попробую восстановить с помощью File Checker.
После этого (если не поможет) установка ХР поверх старой?

[url]http://support.microsoft.com/kb/825826/ru[/url]
думаю решит проблему

На всякий случай поискать C:\WINDOWS\System32\lanmanwrk.exe
Они с sys ходят парой.

Спасибо за советы, статья от Microsoft мощная! Сейчас пойду выполнять.

и всё ещё ждём логи ;)

Логов пока нет, выполняется SFC. Служба "Удаленный вызов процедур (RPC)" находится в состоянии "Запуск", соответственно от нее зависящие службы тоже не запускаются.

Все же решил запустить восстановление с диска ХР.
Похоже, все исправилось. Сеть есть, Drug&Drop работает, Панель задач появилась.
Логи прилагаю.

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tskill.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.

Скрипт выполнил, карантин загружаю.
Вроде чисто, но еще сделаю сейчас свежие логи.