Trojan.NtRootKit.1653 в файле synsenddrv.sys

[dudes]

Здравствуйте!
На моем компьютере завелся такой паразит:

Trojan.NtRootKit.1653 (в файле synsenddrv.sys)

После полного сканирования компьютера при помощи Dr.Web этот паразит якобы удаляется. Но после перезагрузки опять появляется в файле synsenddrv.sys

А после подключения к сети Интернет начинает достаточно быстро "улетать" трафик. Блокируется доступ к наиболее популярным поисковикам (Гугл, Яндекс, Рамблер). Также на компьютере начинают появляться новые вирусы:

C:\WINDOWS\system32\drivers\ati7gvxx.sys - инфицирован BackDoor.Bulknet.240
C:\WINDOWS\system32\drivers\ati6gvxx.sys - инфицирован BackDoor.Bulknet.240

и еще в файлах вида "A0256308.sys" (по адресу C:\System Volume Information\restore-{886E...) может дублироваться сам Trojan.NtRootKit.1653

Все вновь появившиеся вирусы успешно лечатся при помощи того же Dr.Web, но Trojan.NtRootKit.1653 после перезагрузки снова и снова появляется в файле synsenddrv.sys

[V_Bond]

скачайте C:\WINDOWS\system32\Drivers\ati7gvxx.sys - force delete
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('0.exe','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 DeleteService('ynzjlpghq');
 DeleteService('tcpsr');
 DeleteService('ati5qhxx');
 DeleteService('ati7gvxx');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ati7gvxx.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati7gvxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\ati5qhxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('ynzjlpghq.sys');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('0.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[dudes]

1) скачайте C:\WINDOWS\system32\Drivers\ati7gvxx.sys - force delete
сделал
2) выполните скрипт
сделал (компьютер перезагрузился)
3) пришлите карантин согласно приложения 3 правил
Вот тут не совсем понял.
Путь:
"AVZ" --> "Файл" --> "Просмотр карантина"
а там нет никаких файлов. Нажал "Автодобавление" и все те файлы которые добавились заархивировал и отправил. Не знаю, правильно сделал или нет.

Повторные логи:

[PavelA]

Касперский с Доктором это многовато.

[Гриша]

В IceSword сделайте этому файлу Force Delete:

Код:

C:\WINDOWS\system32\drivers\synsenddrv.sys

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('synsend');
 QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\00000C4C.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\00000C4C.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportALL;  
ExecuteSysClean;
BC_QrSvc('synsend');
BC_DeleteSvc('synsend');    
BC_Activate;
ExecuteRepair(13);    
RebootWindows(true);
end.

Если что-нибудь попадет в карантин пришлите, повторите логи...

[dudes]

У меня еще и nod32 был установлен (не видел Trojan.NtRootKit.1653).
Ну а вообще-то я только Касперским на постоянной основе пользовался, но он не увидел "BackDoor.Bulknet.240", поэтому установил еще и Dr.Web (вспомнив эту ссылочку http://www.antivirus.ru/AntiVirPS810.html).

Так что это временное решение. Надеюсь, что временное.

[dudes]

Гриша, выполнил Ваши указания.
На сей раз файлы в карантине появились (отправил).

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SetAVZGuardStatus(True);
DeleteService('synsend');       
 DeleteFile('C:\WINDOWS\system32\drivers\00000C85.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');     
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('synsend');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[dudes]

Сделал.

[Гриша]

Сделайте полную проверку AVPTool, затем новые логи...

[dudes]

В безопасном режиме?

[Гриша]

Да...

[dudes]

Сделал полную проверку AVPTool (проверка шла примерно 4 часа)

Утилита нашла Trojan.NtRootKit.1653 в файле synsenddrv.sys и еще в 2-х каких-то файлах. Вылечить не удалось, поэтому все удалил. Перезагрузил систему.

Сделал необходимую проверку при помощи AVZ и HijackThis.

В конечном итоге Trojan.NtRootKit.1653 по прежнему появляется в synsenddrv.sys и трафик уходит "налево".

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SetAVZGuardStatus(True);
 DeleteService('synsend');
 DeleteFile('C:\WINDOWS\system32\drivers\00000C35.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('synsend');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи AVZ...

[dudes]

Сделано.

[Aleksandra]

Выполните скрипт в AVZ:

Код:

begin
 SetAVZPMStatus(true);
 RebootWindows(true);
end.

Повторите логи.

[dudes]

Aleksandra, сделал.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('synsend');
 DeleteService('ynzjlpghq');     
 QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
 QuarantineFile('\??\C:\WINDOWS\system32\drivers\mbjnsehxuxu.sys','');
 DeleteFile('\??\C:\WINDOWS\system32\drivers\mbjnsehxuxu.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\00000C03.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_DeleteSvc('ynzjlpghq');
BC_Activate;
RebootWindows(true);
end.

Если что-нибудь попадет в карантин пришлите и повторите логи...

[dudes]

Сделал. Файлы из карантина отправил.

[Гриша]

В логах чисто...