Касперский периодически сообщает об обнаружении вируса Rootkit.win32.small.bk в файле C:\WINDOWS\system32\drivers\synsenddrv.sys. Удалить он его не может. Так же со случайной переносностью с зараженного компьютера идет трафик на всегда разные IP. Во время этих передач процессор загружается на 100%.
Прочитал тему на форуме. Попробовал выполнить в AVZ скрипт.
Однако после перезагрузки synsenddrv.sys появился снова.
Надеюсь на вашу помощь. Логи прилагаюся.
Последний раз редактировалось Alex_Goodwin; 18.06.2009 в 18:00.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачать Icesword В нем найти и скопировать куда-нибудь C:\WINDOWS\system32\drivers\sbirzgh.sys', затем сделать ему force delete.
Далее...
Выполнить скрипт:
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48215
плюс переименнованный файлик.
Сделать лог Gmer, как смотреть в разделе "Чаво".
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Icesword при запуске выдал предупреждение. Снять скриншот PrintScreen'ом не получилось. Окно сообщало что "IoComplete Request was hooked (=>81cc8czd) in C:\WINDOWS\system32\drivers\0000705j.sys, restart". После нажатия ОК программа загрузилась. Удалось найти и удалить C:\WINDOWS\system32\drivers\sbirzgh.sys функцией force delete, предварительно сделав копию файла.
Скрипт выполнил. Прислать карантин возможности нет т.к. он оказался пустым.
sbirzgh.sys
Результат загрузки
Файл сохранён как 090619_104012_renamed_file_4a3b32cce99bd.zip
Размер файла 29267
MD5 18aa643a15e8c8942b84d99ec1efe849
Скрипт не выполняется. Пишет "Ошибка: Undeclared indetifier "BC_DeleteService" в позиции 2:18".
Файл через карантин.
Результат загрузки
Файл сохранён как 090619_123321_2009-06-19_4a3b4d51575ea.zip
Размер файла 29610
MD5 cacdf47e8d6c5eb532200fd383fedb13
Не вижу ничего подозрительного в логе. Установите IE 8.
Выполните процедуру, описанную в первом сообщении http://virusinfo.info/showthread.php?t=3519.
Остались какие-либо проблемы?
Подключил этот компьютер к интернету. Пока все спокойно. Никакой "незаконной" активности не наблюдаю. Если что-либо зафиксирую обязательно сообщу. IE 8 поставлю.
Скрипт №4 выполнил.
Результат загрузки
Файл сохранён как 090619_171128_virusinfo_files_1C_4a3b8e808fce7.zip
Размер файла 5354471
MD5 023c8241ae563702d4ff3638d6989cad
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: