Спам-рассылщик

[COLOR=black][FONT=Verdana]При выходе в инет с компа идут данные, загружая полностью трафик (скорость малая 128 кбит/с), т. е. ни один сайт открыть не могу. Щас вышел с рабочего компа. Можно ли моё лечение растянуть на день-два, бо я днём на работе, дома вечером. Логи принес на флешке. При проверке [/FONT][/COLOR][COLOR=black][FONT=Verdana]AVZ[/FONT][/COLOR][COLOR=black][FONT=Verdana] находит подозрение на Троян в [/FONT][/COLOR][COLOR=black][FONT=Verdana]C[/FONT][/COLOR][COLOR=black][FONT=Verdana]/[/FONT][/COLOR][COLOR=black][FONT=Verdana]Program[/FONT][/COLOR][COLOR=black][FONT=Verdana]files[/FONT][/COLOR][COLOR=black][FONT=Verdana]/[/FONT][/COLOR][COLOR=black][FONT=Verdana]Bonjour[/FONT][/COLOR][COLOR=black][FONT=Verdana]. Карантин сделал после проверки.[/FONT][/COLOR]

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:

[CODE]C:\WINDOWS\system32\drivers\synsenddrv.sys[/CODE]

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\SmartShopper\Bin\2.5.0\SmrtShpr.dll','');
DeleteService('synsend');
DeleteFile('000005D2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi');
DeleteFile('C:\WINDOWS\system32\drivers\000005D2.sys ');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Скрипты скопировал, IceSword перекачал. Дома выполню. Если смогу выйти в инет, то сегодня отвечу. Карантин выслал, который после вчрашней прверки. Спасибы:)

Если вдруг задержитесь, то не волнуйтесь. Придете, найдете свою тему и мы продолжим лечение, если понадобится.

Скрипт выполнил, теперь после проверки AVZ ничего не находит, карантина соответственно нет. В проводнике программы IceSword и без неё по пути C:\WINDOWS\system32\drivers\synsenddrv.sys нет такого файла - самый похожий srv.sys. Рассылка спама всё равно идёт. Логи прилагаю.

Профиксить:
[CODE]O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra button: SmartShopper - Compare product prices - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} - shell32.dll (file missing)
O9 - Extra button: SmartShopper - Compare travel rates - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} - shell32.dll (file missing)
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - shell32.dll (file missing)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - shell32.dll (file missing)
[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Проблема в том, что 'C:\WINDOWS\system32\drivers\synsenddrv.sys' живет и трудится.

Спасибо, дома профиксю.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('synsend');
SetServiceStart('synsend', 4);
StopService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...

Простите за неграмотность. А есть разница что сначала сделать - прфиксить или выполнить скрипт?

Сначала пофиксите затем скрипт..

Благодарю

Профиксил, скрипт выполнил, не помогло. Логи высылаю.

Помогите удалить спам-рассылщик, плз. На всякий случай сделал новые логи.

C:\WINDOWS\system32\drivers\synsenddrv.sys - найти и удалить через IceSword.

Затем:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('realevent.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\000006D6.sys');
BC_DeleteFile('000006D6.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать карантин

Сделать новые логи.

В данный момент выхожу с домашнего компа, т.к. спам-рассылщик почему-то заснул. Файл synsenddrv.sys найти так и не нашел. Нужно ли мне выполнить скрипт в этом случае или сначало обязательно сделать 1 пункт лечения (не знаю правда каким образом)

Если не можете найти, делайте скрипт...

Скрипт выполнил, карантин выслал, логи прилагаю

Все на месте, вы в айсворд хорошо смотрите?

В айссворде я хорошо смотрю. Когда по указанному пути выбираю папку drivers, появляется куча файлов с расширением .sys и файла synsenddrv.sys там нет. Является ли неправильным, то что при запуске Айссворда появляется окно с надписями: IoCompleteRequest was hooked(=> 89155c2d,in C:\WINDOWS\System32\Drivers\00000655),restore now. или IoCompleteRequest was hooked(=> 8919fc2d,in C:\WINDOWS\System32\Drivers\000006A6),restore now.

Спасибо, ребята, кто пытался помочь. Но сейчас спам-рассылщика нет. Когда появится, буду вновь обращатся к Вам за помощью. А "synsenddrv.sys" я так всё равно и не нашел, наверно хорошо прячется.