backdoor.bulknet и Trojan.Sespy

[FONT=Times New Roman][SIZE=3]Др. Вэб 4.33, обновление баз от 09.07.2007. Обнаруживает в ip6fw.sys - backdoor.bulknet и в y2.dll & y2(2).dll – Trojan.Sespy. Лечение или удаление второго случая приводит к полному падению IE, «Невозможно отобразить страницу» даже для файлов, сохраненных на винте, никакие танцы с бубном после этого не помогают, только виндовское восстановление системы. Первый после удаления, естественно восстанавливается руткитом.[/SIZE][/FONT]
[FONT=Times New Roman][/FONT]
[FONT=Times New Roman][SIZE=3]Никакой вредной активности за червями не замечено, однако, неприятно.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Что делать, подскажите, пожалуйста?[/SIZE][/FONT]
[FONT=Times New Roman][/FONT]
[SIZE=3][FONT=Times New Roman]P.S. У меня НТФС и Вин ХР СП2. Файер – Аутпост 4.0.1007. Настроен по мере моих скромных сил, т. к. смутно понимаю суть работы файера.[/FONT][/SIZE]

[URL="http://virusinfo.info/showthread.php?t=1235"]Прочитать и выполнить[/URL].

Сделал, сразу не стал потому как боялся падения IE, только потом сообразил, что из карантина АВЗ этот клятый у2 ресторить можно...

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]Потом ещё один[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\y2.dll','');
DeleteFile('C:\WINDOWS\system32\y2.dll');
AutoFixSPI;
BC_ImportDeletedList;
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.

[COLOR="Red"][B]Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту[/B][/COLOR] [URL="http://www.tacktech.com/pub/winsockfix/WinsockFix.zip"]WinSockFix[/URL]. Утилита WinSockFix сбрасывает настройки сети. Крайне желательно их записать/запомнить.

Карантин закинул по ссылке сверху, вот логи после выполнения указанных скриптов.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteFile('C:\WINDOWS\system32\y2.dll');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(14);
RebootWindows(true);
end.[/CODE]Повторите логи.

[COLOR="Red"][B]Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту[/B][/COLOR] [URL="http://www.tacktech.com/pub/winsockfix/WinsockFix.zip"]WinSockFix[/URL]. Утилита WinSockFix сбрасывает настройки сети. Крайне желательно их записать/запомнить.

Вот новые логи. В этот раз IE не упал и SockFix юзать не пришлось.
Смена в 2 заканчивается, ухожу спать. Все дальнейшие рецепты смогу применить после 7 вечера.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrSvc('AotoLogon');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('AotoLogon');
BC_DeleteFile('C:\WINDOWS\svchost.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11121[/url]
повторите логи

Карантин скинул, вот логи.

[B]C:\WINDOWS\svchost.exe[/B] - Rootkit.Win32.Agent.dp (по Касперскому)
Его мы удалили,теперь в логах всё чисто. ;)
Советую работать за компьютером с правами ограниченного пользователя.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!

[B]Muzzle[/B],
[B]Maxim[/B], Спсаибо, без IE, к сожалению, не обойтись.

Тогда хотя бы заплатки ставьте.

[QUOTE='Maxim;123678']Тогда хотя бы заплатки ставьте.[/QUOTE] Какие конкретно можете посоветовать?
Инет через диал-ап, в настройках вырублен весь АктивХ.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ip6fw.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[*] c:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\system32\\y2.dll - [B]Trojan-Downloader.Win32.Agent.but[/B] (DrWEB: Trojan.Sespy)[/LIST][/LIST]