При установлении соединения с инетом (адсл) комп начинает рассылать почту, это видно по значку Spider Mail - бегут проверяемые письма.
Кому, что шлёт - непонятно.
Dr Web определил заразу как Email-Worm.Win32.Zhelatin.gm, что-то вылечил, что-то удалил, но проблема осталась.
AVZ в нормальном режиме при выполнении скрипта лечения выбрасывет синий экран, посему сделал лог в сэйф моде.
Проверял Лавасофтовским Ад Аваром - ноль реакции.
Помогите.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
...пришлите карантин согласно приложения 3 правил ....
Скрипт в нормальном режиме повесил комп, выполнил в сэйфмоде.
Карантин выслал, как описано в алгоритме высылки.
Сорри, но как узнать, пришёл ли к Вам файл с карантином?
ЗЫ. Да, кстати...PE717emu.sys это файлик к Project Expert 7.17
Пока жду ответа пытаюсь найти этот dert69.sys...
по всем правилам, через AVZ-Сервис-поиск файлов на диске...без результата. В реестре тоже не видно...замаскировался сильно.
Виден он только через AVZ-Сервис-модули пространства ядра
Побаловался с последним скриптом, после отсылки Вам карантина выполнил его без строчки RebootWindows(true);
Так вот - при включённом AVZGuard'е адсл соединение не устанавливается. Пишет, что модем занят.
Так, соврал...в реестре есть раздел с dert69, я думал что поиск повис, а он искал оказывается...
вот экспорт ветки...
Windows Registry Editor Version 5.00
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Dert69', 'Start');
RebootWindows(true);
end.
После выполнения скрипта и перезагрузки найти в этом каталоге System32\DRIVERS\ файл Dert69.sys заархивировать и прислать. После архивации его удалите. Повторите логи.
да в карантине его нет ... RKU просканируйте ... программа бывает виснет ... но иногда бывает весьма эффективна ...
У меня не повисла, но сканила очень долго. Результат во вложении. Странно, что подозрительные файлы она нашла в System Volume Information - отключил же восстановление системы как описано в правилах...
Процесс Dert69 видит и AVZ и RKU, но не удаляет ни тот ни другой. Оба могут задампить.
Раздел из реестра с Dert69 не удаляется никак.
Последний раз редактировалось Cash123; 21.08.2007 в 03:45.
Причина: ещё инфа
Скрипт # 1 из стандартного набора - "поиск и нейтрализация RootKit UserMode и KernelMode" в нормальном режиме загрузки отправляет комп на перезагруз. Выполнил в сэйфмоде, лог avz_logScript#1 в аттаче.
Явно сбоит на этой заразе, dert69.
Сделал также и пункт 2 Вашего алгоритма - 2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол.
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Dert69', 'Start');
RebootWindows(true);
end.
После выполнения скрипта и перезагрузки найти в этом каталоге System32\DRIVERS\ файл Dert69.sys заархивировать и прислать. После архивации его удалите. Повторите логи.
Скрипт выполнил, но та же история, что и со скриптом # 1 из стандартного набора (Совет от Numb). В нормале уходит на перезагрузку во время выполнения скрипта, в сэйфмоде выдаёт ошибку обмена с драйвером.
После выполнения скрипта в сэйфмоде искал Dert69 в указанной Вами директории, не нашёл - хотя зараза явно там сидит.
Ура, товарищи . Маленькая локальная победа - под утро меня осенило, загрузился с компакта, и зараза показалась там где Вы её угадали - C:\windows\system32\drivers
заархивил, выслал.
Была возможность, когда был загружен с компакта, авастовским регедитом удалить раздел с Dert69 из реестра винды которая на C:\windows, но не рискнул.
Сейчас загрузился с винта, файл Dert69.sys опять исчез.
Dr.Web пишет что это Trojan.Spambot.2400
И как его грамотно кильнуть?
Последний раз редактировалось Cash123; 21.08.2007 в 04:35.
Причина: Dr Web
begin
SetAVZGuardStatus(True);
DeleteFile('\SystemRoot\System32\DRIVERS\Dert69.sys');
BC_DeleteFile('\SystemRoot\System32\DRIVERS\Dert69.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
и попробуйте сделать логи в обычном режиме
PS. а почему вы не удалили драйвер когда загрузились с диска?
Последний раз редактировалось Muzzle; 21.08.2007 в 05:01.
PS. а почему вы не удалили драйвер когда загрузились с диска?
Испугался, что винда не загрузится с C:\windows
Опыта у меня мало, поэтому решил не рисковать. Вдруг этот спамбот изменил какой-нить оригинальный файлик винды...
Возможно что перестраховался - но это я всегда сделать успею.
Ваш скрипт выполнился успешно, причём даже не в сэйфмоде. Комп ушёл на перезагруз.
А потом опять фигня...
Начал делать логи, скрипт # 3 из AVZ-файл-стандартные скрипты в нормальном режиме опять вешает комп...а в сэйфмоде пишет про ошибку обмена данных с драйвером...лог работы в сэйфмоде сделал...
лог скрипта # 1 и хайджека в аттаче.
Зараза, видимо, осталась.
Может, не мучиться, загрузиться с компакта и удалить с него?
Последний раз редактировалось Cash123; 21.08.2007 в 06:04.
Тут есть несколько вариантов:
1) загрузиться с Live-CD и убить указанный мною файл в указанном каталоге.
2) Скачать по этой ссылке антируткит http://www.trendmicro.com/ftp/produc...rv1.6-1055.zip
распаковать и запустить сканирование. В результате он обнаружит замаскированные ключи автозагрузки этого драйвера и их можно будет удалить. После ребута к и в случае моего скрипта - заархивировать и удалить.
Второй вариант куда проще.
2Vaber
К сожалению я под утро пошёл по наименьшему сопротивлению, по первому пути. Всю ночь не спал, решил уже сделать, потому как жена на утро комп заказывала починенный. А Ваша ссылка трохи опоздала...сорри, хотя интересно конечно, справилась бы эта прога или нет.
В реестре упоминаний этой заразы было штук 8, всё вычистил, а AVZ отложенно кильнул dert69. AVZ с винта загрузился, под винду с компакта.
Сейчас траф не бежит, скрипты выполняются без зависов.
Выслал на всякий пожарный свежие логи, посмотрите, плиз, всё ли убралось.
И такой вопрос - почему AVZ не смог этот процесс "зарезать"?
Это мои кривые ручки или слишком хитрый руткит?
а набросайте плиз ссылок - что почитать, чтоб такое не ловить...
а то ж страшно жить - и антивир есть, и для адварок есть что-то, но не помогает, как видно...
мы вроде по порнушным сайтам не лазим, комп только для почты-аськи и скайпа, броузер опера, не ие....
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: