Показано с 1 по 12 из 12.

Не удаляется synsenddrv.sys (заявка № 48215)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    6
    Вес репутации
    54

    Thumbs up Не удаляется synsenddrv.sys

    Здравствуйте.

    Касперский периодически сообщает об обнаружении вируса Rootkit.win32.small.bk в файле C:\WINDOWS\system32\drivers\synsenddrv.sys. Удалить он его не может. Так же со случайной переносностью с зараженного компьютера идет трафик на всегда разные IP. Во время этих передач процессор загружается на 100%.
    Прочитал тему на форуме. Попробовал выполнить в AVZ скрипт.

    Однако после перезагрузки synsenddrv.sys появился снова.

    Надеюсь на вашу помощь. Логи прилагаюся.
    Вложения Вложения
    Последний раз редактировалось Alex_Goodwin; 18.06.2009 в 18:00.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Низя-я-я-я выполнять чужие скрипты.
    Качайте AVZ из моей подписи, устанавливаете AVZPM и делаете
    логи заново.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    6
    Вес репутации
    54
    Новые логи.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Скачать Icesword В нем найти и скопировать куда-нибудь C:\WINDOWS\system32\drivers\sbirzgh.sys', затем сделать ему force delete.
    Далее...
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('synsend', 4);
     DeleteService('synsend');
     BC_DeleteSvc('synsend');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\0000071B.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\sbirzgh.sys','');
     DeleteFile('\??\C:\WINDOWS\system32\drivers\sbirzgh.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\0000071B.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48215
    плюс переименнованный файлик.
    Сделать лог Gmer, как смотреть в разделе "Чаво".
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    6
    Вес репутации
    54
    Прошу извинить за задержку с ответом.

    Выполнил следующее.

    Icesword при запуске выдал предупреждение. Снять скриншот PrintScreen'ом не получилось. Окно сообщало что "IoComplete Request was hooked (=>81cc8czd) in C:\WINDOWS\system32\drivers\0000705j.sys, restart". После нажатия ОК программа загрузилась. Удалось найти и удалить C:\WINDOWS\system32\drivers\sbirzgh.sys функцией force delete, предварительно сделав копию файла.
    Скрипт выполнил. Прислать карантин возможности нет т.к. он оказался пустым.


    sbirzgh.sys
    Результат загрузки
    Файл сохранён как 090619_104012_renamed_file_4a3b32cce99bd.zip
    Размер файла 29267
    MD5 18aa643a15e8c8942b84d99ec1efe849
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
     BC_DeleteSvc('fwpicnlb');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\sbirzgh.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново лог после перезагрузки по станд. скрипту №2
    Загрузите переименованный файл через карантин AVZ.
    Последний раз редактировалось PavelA; 19.06.2009 в 16:18.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    6
    Вес репутации
    54
    Скрипт не выполняется. Пишет "Ошибка: Undeclared indetifier "BC_DeleteService" в позиции 2:18".

    Файл через карантин.
    Результат загрузки
    Файл сохранён как 090619_123321_2009-06-19_4a3b4d51575ea.zip
    Размер файла 29610
    MD5 cacdf47e8d6c5eb532200fd383fedb13

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Поправил скрипт, извините.

    Добавлено через 37 секунд

    По Касперскому:
    renamed_file - Rootkit.Win32.Pakes.sl

    Детектирование файла будет добавлено в следующее обновление.
    Последний раз редактировалось PavelA; 19.06.2009 в 16:19. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    6
    Вес репутации
    54
    Скрипт выполнил.
    Новый лог.
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2009
    Адрес
    Киев
    Сообщений
    241
    Вес репутации
    74
    Не вижу ничего подозрительного в логе. Установите IE 8.
    Выполните процедуру, описанную в первом сообщении http://virusinfo.info/showthread.php?t=3519.
    Остались какие-либо проблемы?

  12. #11
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    6
    Вес репутации
    54
    Подключил этот компьютер к интернету. Пока все спокойно. Никакой "незаконной" активности не наблюдаю. Если что-либо зафиксирую обязательно сообщу. IE 8 поставлю.

    Скрипт №4 выполнил.
    Результат загрузки
    Файл сохранён как 090619_171128_virusinfo_files_1C_4a3b8e808fce7.zip
    Размер файла 5354471
    MD5 023c8241ae563702d4ff3638d6989cad

    Огромное спасибо за помощь.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\renamed_file - Rootkit.Win32.Pakes.sl ( BitDefender: Rootkit.Agent.AIZT )


  • Уважаемый(ая) SD_West, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. снова о synsenddrv.sys
      От khrust в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.10.2009, 09:52
    2. Не удаляется Rootkit.Win32.Small.bk в synsenddrv.sys
      От бродячий в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.07.2009, 20:28
    3. Synsenddrv.sys. Помогите.
      От kisira в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 19.03.2009, 16:41
    4. synsenddrv.sys
      От Shopot в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 08:32
    5. synsenddrv.sys
      От Car в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.02.2009, 12:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00304 seconds with 18 queries