Показано с 1 по 7 из 7.

троян Win32/Rootkit.Agent.NIJ (заявка № 71999)

  1. #1
    Junior Member Репутация
    Регистрация
    22.02.2010
    Сообщений
    3
    Вес репутации
    52

    Exclamation троян Win32/Rootkit.Agent.NIJ

    Такая же проблема, как уже было на форуме, nod32 постоянно пытается удалить C:\WINDOWS\system32\drivers\synsenddrv.sys. Пытался запускать аналогичные скрипты - не получилось.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - обязательно!!! Системное восстановление!!!как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
     DeleteFile('C:\WINDOWS\system32\mssfc.dll');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     ExecuteRepair(16);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    22.02.2010
    Сообщений
    3
    Вес репутации
    52
    Спасибо, карантин получили?
    Вложения Вложения
    Последний раз редактировалось AlexBA; 22.02.2010 в 22:11.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetServiceStart('synsend', 4);
     DeleteService('synsend');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('synsend');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    22.02.2010
    Сообщений
    3
    Вес репутации
    52
    Проделал.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\mssfc.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.570, AVAST4: Win32:Patched-KP [Trj] )
      2. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aexv ( DrWEB: Trojan.PWS.Panda.246 )
      3. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.557, AVAST4: Win32:Patched-KP [Trj] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) AlexBA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Троян Win32\Rootkit.Agent.NSJ
      От isk в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 13.02.2010, 17:52
    2. Win32/Rootkit.Agent.NIJ троян
      От beka в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 23.06.2009, 00:02
    3. Win32/Rootkit.Agent.NIJ троян
      От Pavlick в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 17.06.2009, 13:01
    4. Троян Win32/Rootkit.Agent.ODG
      От Leynad в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 10.06.2009, 13:44
    5. Win32/Rootkit.Agent.HSE троян
      От budem в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.03.2009, 13:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01004 seconds with 18 queries