runtime.sys инфицирован BackDoor.Bulknet

Добрый день уважаемые Хелперы!

В последнюю неделю каждый раз после включения или перезагрузки ПК DrWeb ругаеться что runtime.sys инфицирован BackDoor.Bulknet. Я нажимаю "удалить", и антивирь грит что удалил его, но после перезагрузки выходит аналогичное сообщение. Иногда после включения комп вообще ни на что не реагирует (помогает только ресет).
Несколько раз проверял весь диск, антивирь находил след. файлы:
1) smtpdrv.sys C:\Windows\system32\drivers\ инфицирован Trojan. Nt RootKit 360
2) Startdrv.exe C:\Windows\Temp инфицирован BackDoor.Bulknet 80 TrojanWin32.Pakes
3) ip6fw.sys C:\Windows\system32\drivers\ инфицирован BackDoor.Bulknet
4) Ещё в Моих документах в папке Temp нашёл файл 17258366.exe который инфицирован BackDoor.Bulknet

После проверки все файлы удалились, сейчас антивирь ничё не находит. Проверку проводил DrWeb ом, AVZ, Ad-Aware SE с обновлениями. Но постоянно выходит сообщение runtime.sys инфицирован BackDoor.Bulknet, в добавок постоянно что-то ломится в инет, пользую GPRS, стоит подключить инет, как начинает накручивать трафик.
После всех проверок сделал как написано в правилах, ниже выкладываю логи.

Посмотрите пожалуйста что можно сделать, я рядовой пользователь, заранее благодарен за ответ!

Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта [url]http://download.drweb.com/win[/url] и установите.

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Отключитесь от сети.
Закройте все другие программы.
Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
Begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Reset 5');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил.
При создании архива карантина отключите антивирус.
Загружать по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13967[/url]
Сделайте новые логи и приложите их к вашей теме.

Сделал всё как просили, скачал новый DrWeb, после выполнения скрипта сообщение DrWeb об инфицировании runtime.sys перестало выходить, архив карантина отправил, выкладываю новые логи, извиняюсь что только два, третий не успел (комп рабочий :)).

Пофиксьте
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code]
и, не перегружаясь, выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Повторите логи

Пришел карантин - пустой. Значит файла:
C:\WINDOWS\System32\DRIVERS\smtpdrv.sys
больше нет.

Добрый день! Строчку профиксил, скрипт выполнил как сказали, ниже логи, правда лог virusinfo_syscure.zip выполнить не удалось, AVZ после обновления за примерно 1 м и 20 сек. просто тупо вылетает... и всЁ :).

Сделайте такой лог:
[url]http://virusinfo.info/showthread.php?t=10387[/url]

Сделал...

Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('TSP');
BC_Activate;
RebootWindows(true);
end.[/code]
Можно еще пофиксить в HijackThis:
[code]
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
[/code]
Выполнению лога syscure вероятно могут мешать DrWeb и Outpost.
Больше ничего плохого в логах нет.

Да я пробовал и с ними и без них, т.е. отключал всё перечисленное, всё равно вылетает, а вчера всё ОК работало. Ну ладно, ща сделаю..

Пофиксил и выполнил скрипт, прилагаю логи... но опять только два, лог syscure прога AVZ опять сделать не смогла, на завершающем этапе, когда до завершения оставалось 2 м 32 с вышло сообщение:Ошибка сканирования, программе не удаёться произвести чтение с диска C:\Windows\installer\ далее набор букв и цифр.. Прога зависла, пришлось вырубать принудительно..

Скорее всего сбойный кластер на жестком диске.

Еще возможна проблема с логической структурой диска.
Кнопка Пуск - Выполнить:
chkdsk /f c:
согласится (нажать клавишу Y) с проверкой при следующей загрузке.

На счёт кластера впринципе возможно, тем более хард не новый, да и в последнее время часто ресет приходилось нажимать из-за зависания системы. В понедельник проверю :)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Что из этого Вам не нужно?

В принципе кроме SSDP ничего не нужно. Жёский кстати проверил на наличие сбойных кластеров и логическую структуру..всё нормуль. Но проблема сегодня утром неожиданно решилась :). Комп сегодня вообще не захотел загружаться, в самом начале загрузки определяеться проц..далее тест памяти и ВСЁЁ...висяк.. Хотя в пятницу ничего не предвещало такого конца, последнее что делал это пыталя сделать лог syscure который так и не получилось сделать. В итоге после нескольких попыток восстановить систему, просто поставил новый жёсткий диск с новой системой. Так что надеюсь больше проблемы с этими вирусами не будет.
P.S. Баальшое спасибо всем кто ответил на мой пост :)

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]