Backdoor.Bulknet, runtime2.sys, secdrv.sys

Здравствуйте[FONT=Courier New] Этот backdoor уже всплывал не раз на форуме.
Огромная просьба [/FONT][FONT=Times New Roman]помочь[/FONT][FONT=Courier New] и мне, пожалуйста.[/FONT]
[FONT=Courier New]
Симптомы вроде одинаковые:

подозрение на Rootkit.Win32.Agent.dp
+ [/FONT][FONT=Times New Roman]процесс[/FONT][FONT=Courier New], который маскируется по ie
Обнаружена маскировка процесса 2728 c:\program files\internet explorer\iexplore.exe

Что-то из этого лезет в сеть-инет (SVCHOST.exe) по следующем ip
67.18.114.98
208.66.194.241
66.246.252.213
66.246.252.213
66.246.72.173

Стоит Outpost и DrWeb

С Уважением, Андрей Юрсон
[/FONT]

1. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\System32\slideshow.dll','');
QuarantineFile('C:\WINDOWS\System32\phototoys.dll','');
QuarantineFile('C:\WINDOWS\System32\shplayer.dll','');
QuarantineFile('C:\WINDOWS\System32\msvdm.dll','');
QuarantineFile('C:\WINDOWS\System32\bgswitch.exe','');
QuarantineFile('\SystemRoot\System32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Fast.exe','');
QuarantineFile('C:\PROGRA~1\WINDOW~3\wmpband.dll','');
DeleteFile('\SystemRoot\System32\DRIVERS\secdrv.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

2. После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

3. Прикрепить в теме файл boot_clr.log из папки AVZ.

4. Сделать логи заново.

Готово.

Прекратился самовольный трафик по указанным адресам :)

Ну вроде как победили. DrWeb молчит.
Но мелочь все равно где-то еще сидит - SVHOST.exe очень редко лезет в инет по адресу [FONT=Courier New]66.246.252.215. Глушу Outpost'ом[/FONT]

[FONT=Courier New]Так что, большое спасибо за помощь![/FONT]

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O15 - Trusted Zone: *.p0rt2.com
[/code]
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
3.напоминаю, с таким решетом как у вас:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106),
лечение временно, что-нибудь опять схватите.Обновляйтесь.

P.S.Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Ok. Спасибо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\secdrv.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[/LIST][/LIST]