Большой исходящий траффик

[Cash123]

При установлении соединения с инетом (адсл) комп начинает рассылать почту, это видно по значку Spider Mail - бегут проверяемые письма.
Кому, что шлёт - непонятно.
Dr Web определил заразу как Email-Worm.Win32.Zhelatin.gm, что-то вылечил, что-то удалил, но проблема осталась.

AVZ в нормальном режиме при выполнении скрипта лечения выбрасывет синий экран, посему сделал лог в сэйф моде.

Проверял Лавасофтовским Ад Аваром - ноль реакции.
Помогите.

[V_Bond]

выполните скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('\SystemRoot\System32\Drivers\pe717emu.SYS','');
 QuarantineFile('Dert69.sys','');
 QuarantineFile('\SystemRoot\System32\DRIVERS\fsksnt.sys','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[Cash123]

выполните скрипт...

...пришлите карантин согласно приложения 3 правил ....

Скрипт в нормальном режиме повесил комп, выполнил в сэйфмоде.
Карантин выслал, как описано в алгоритме высылки.
Сорри, но как узнать, пришёл ли к Вам файл с карантином?

ЗЫ. Да, кстати...PE717emu.sys это файлик к Project Expert 7.17

[V_Bond]

выполните скрипт ...

Код:

begin
 ClearQuarantine;
 SetAVZGuardStatus(true);
 QuarantineFile('Dert69.sys','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[Cash123]

Пока жду ответа пытаюсь найти этот dert69.sys...
по всем правилам, через AVZ-Сервис-поиск файлов на диске...без результата. В реестре тоже не видно...замаскировался сильно.
Виден он только через AVZ-Сервис-модули пространства ядра

Побаловался с последним скриптом, после отсылки Вам карантина выполнил его без строчки RebootWindows(true);

Так вот - при включённом AVZGuard'е адсл соединение не устанавливается. Пишет, что модем занят.

Так, соврал...в реестре есть раздел с dert69, я думал что поиск повис, а он искал оказывается...

вот экспорт ветки...
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\ LEGACY_DERT69]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\ LEGACY_DERT69\0000]
"Service"="Dert69"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="Dert69"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\ LEGACY_DERT69\0000\Control]
"ActiveService"="Dert69"

Добавлено через 1 час 16 минут

Посмотрел архив карантина, который вам выслал - а там размер этого dert69 указан как 0. Изучать, имхо, нечего.

Это я затупил и сделать карантин ещё раз или проблема в другом?

[V_Bond]

да в карантине его нет ... RKU просканируйте ... программа бывает виснет ... но иногда бывает весьма эффективна ...

[Numb]

В дополнение к тому, что предложил V_Bond, пожалуйста,сделайте логи, о которых написано здесь: http://virusinfo.info/showthread.php?t=10387

[vaber]

Выполнить скрипт:

Код:

begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Dert69', 'Start');
 RebootWindows(true); 
end.

После выполнения скрипта и перезагрузки найти в этом каталоге System32\DRIVERS\ файл Dert69.sys заархивировать и прислать. После архивации его удалите. Повторите логи.

[Cash123]

да в карантине его нет ... RKU просканируйте ... программа бывает виснет ... но иногда бывает весьма эффективна ...

У меня не повисла, но сканила очень долго. Результат во вложении. Странно, что подозрительные файлы она нашла в System Volume Information - отключил же восстановление системы как описано в правилах...

Процесс Dert69 видит и AVZ и RKU, но не удаляет ни тот ни другой. Оба могут задампить.

Раздел из реестра с Dert69 не удаляется никак.

[Cash123]

В дополнение к тому, что предложил V_Bond, пожалуйста,сделайте логи, о которых написано здесь: http://virusinfo.info/showthread.php?t=10387

Скрипт # 1 из стандартного набора - "поиск и нейтрализация RootKit UserMode и KernelMode" в нормальном режиме загрузки отправляет комп на перезагруз. Выполнил в сэйфмоде, лог avz_logScript#1 в аттаче.
Явно сбоит на этой заразе, dert69.


Сделал также и пункт 2 Вашего алгоритма - 2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол.

[Cash123]

Выполнить скрипт:

Код:

begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Dert69', 'Start');
 RebootWindows(true); 
end.

После выполнения скрипта и перезагрузки найти в этом каталоге System32\DRIVERS\ файл Dert69.sys заархивировать и прислать. После архивации его удалите. Повторите логи.

Скрипт выполнил, но та же история, что и со скриптом # 1 из стандартного набора (Совет от Numb). В нормале уходит на перезагрузку во время выполнения скрипта, в сэйфмоде выдаёт ошибку обмена с драйвером.

После выполнения скрипта в сэйфмоде искал Dert69 в указанной Вами директории, не нашёл - хотя зараза явно там сидит.

[Cash123]

2All

Ура, товарищи . Маленькая локальная победа - под утро меня осенило, загрузился с компакта, и зараза показалась там где Вы её угадали - C:\windows\system32\drivers

заархивил, выслал.

Была возможность, когда был загружен с компакта, авастовским регедитом удалить раздел с Dert69 из реестра винды которая на C:\windows, но не рискнул.

Сейчас загрузился с винта, файл Dert69.sys опять исчез.

Dr.Web пишет что это Trojan.Spambot.2400

И как его грамотно кильнуть?

[Muzzle]

давайте из безопасного режима

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('\SystemRoot\System32\DRIVERS\Dert69.sys');
 BC_DeleteFile('\SystemRoot\System32\DRIVERS\Dert69.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
и попробуйте сделать логи в обычном режиме
PS. а почему вы не удалили драйвер когда загрузились с диска?

[Cash123]

PS. а почему вы не удалили драйвер когда загрузились с диска?

Испугался, что винда не загрузится с C:\windows
Опыта у меня мало, поэтому решил не рисковать. Вдруг этот спамбот изменил какой-нить оригинальный файлик винды...
Возможно что перестраховался - но это я всегда сделать успею.


Ваш скрипт выполнился успешно, причём даже не в сэйфмоде. Комп ушёл на перезагруз.

А потом опять фигня...
Начал делать логи, скрипт # 3 из AVZ-файл-стандартные скрипты в нормальном режиме опять вешает комп...а в сэйфмоде пишет про ошибку обмена данных с драйвером...лог работы в сэйфмоде сделал...

лог скрипта # 1 и хайджека в аттаче.
Зараза, видимо, осталась.

Может, не мучиться, загрузиться с компакта и удалить с него?

[V_Bond]

зловред остался, загрузитесь с диска и попробуйте удалить руками , затем удалите и раздел реестра....

[vaber]

Тут есть несколько вариантов:
1) загрузиться с Live-CD и убить указанный мною файл в указанном каталоге.
2) Скачать по этой ссылке антируткит http://www.trendmicro.com/ftp/produc...rv1.6-1055.zip
распаковать и запустить сканирование. В результате он обнаружит замаскированные ключи автозагрузки этого драйвера и их можно будет удалить. После ребута к и в случае моего скрипта - заархивировать и удалить.
Второй вариант куда проще.

[Cash123]

2Vaber
К сожалению я под утро пошёл по наименьшему сопротивлению, по первому пути. Всю ночь не спал, решил уже сделать, потому как жена на утро комп заказывала починенный. А Ваша ссылка трохи опоздала...сорри, хотя интересно конечно, справилась бы эта прога или нет.

В реестре упоминаний этой заразы было штук 8, всё вычистил, а AVZ отложенно кильнул dert69. AVZ с винта загрузился, под винду с компакта.

Сейчас траф не бежит, скрипты выполняются без зависов.
Выслал на всякий пожарный свежие логи, посмотрите, плиз, всё ли убралось.

И такой вопрос - почему AVZ не смог этот процесс "зарезать"?
Это мои кривые ручки или слишком хитрый руткит?

[V_Bond]

рукит хитрый .... но прибит уже.... в логах чисто...

[Cash123]

а набросайте плиз ссылок - что почитать, чтоб такое не ловить...
а то ж страшно жить - и антивир есть, и для адварок есть что-то, но не помогает, как видно...
мы вроде по порнушным сайтам не лазим, комп только для почты-аськи и скайпа, броузер опера, не ие....

или нет шансов?

[Muzzle]

Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".