Junior Member
Вес репутации
55
вирус Hacktool.Rootkit в файле synsenddrv.sys
Symantec AntiVirus постоянно через некоторые промежутки выкидывает сообщение:
Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: Hacktool.Rootkit
File: C:\WINDOWS\system32\drivers\synsenddrv.sys
Location: C:\WINDOWS\system32\drivers
Computer: FURMANS
User: SYSTEM
Action taken: Clean failed : Quarantine failed : Delete succeeded : Access denied
Date found: Thursday, July 02, 2009 9:48:11 AM
Это сообщенние появляется переодически независимо от подключения к интернету. Антивирус хочет удалить файл synsenddrv.sys, но не может так как файла уже нет, и так каждый раз.
Помогите пожалуста
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\CH341SER.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PAR1284.sys','');
QuarantineFile('C:\WINDOWS\system32\actmovieb.exe','');
QuarantineFile('C:\WINDOWS\system32\ABA6Rpg.exe','');
QuarantineFile('C:\WINDOWS\system32\1025b.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\MAC_MOT.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('c:\flexlm\lmgrd.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\1025b.exe');
DeleteFile('C:\WINDOWS\system32\ABA6Rpg.exe');
DeleteFile('C:\WINDOWS\system32\actmovieb.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteService('systemntmi');
DeleteService('port135sik');
DeleteService('nicsk32');
DeleteService('i386si');
DeleteService('acpi32');
DeleteService('synsend');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('i386si');
BC_DeleteSvc('acpi32');
BC_DeleteSvc('synsend');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить логи
The worst foe lies within the self...
Junior Member
Вес репутации
55
Логи повторно
Вложения
Junior Member
Вес репутации
55
Карантин тоже был оправлен
1.Проблема еще наблюдается?
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
The worst foe lies within the self...
Junior Member
Вес репутации
55
Проблема наблюдается как прежде, даже после последнего действия.
Тогда повторите лог virusinfo_syscure.zip но этой версией AVZ и дополнительный лог http://virusinfo.info/showthread.php?t=40118
The worst foe lies within the self...
Junior Member
Вес репутации
55
Вложения
Через Гмер удалить: C:\WINDOWS\system32\drivers\000010A8.sys
если не получиться, то удалить его IceSwordом.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('95289393-33EA-4F8D-B952-483415B9C955');
BC_DeleteSvc('synsend');
QuarantineFile('C:\WINDOWS\system32\custmon2k.dll','');
BC_DeleteFile('C:\WINDOWS\system32\drivers\000010A8.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\ushnxwpoymcsa.sys','');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ushnxwpoymcsa.sys');
DeleteFile('crypts.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи после перезагрузки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Файл C:\WINDOWS\system32\drivers\000010A8.sys
нигде найти не удалось
но после скрипта и новых логов вирус похоще исчез, за 30 мин. работы ниразу не появился, а раньше появлялся сразу после загрузки системы.
Ура!!! Большое Спасибо!
Вложения
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service gdnhin
gmer.exe -del file "C:\WINDOWS\system32\drivers\ushnxwpoymcsa.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gdnhin"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Cleenup выполнился с ошибками, ничего сделать ему не удалось
Лог прикреплен
Вложения
Сообщение от
geylordfocker
ничего сделать ему не удалось
Напротив. В логе чистота
Больше проблем нет?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
55
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 9 В ходе лечения вредоносные программы в карантинах не обнаружены