Семантик обнаруживает Hacktool Rootkit, удаляет его, а после загрузки он опять появляется!
Доктор Веб ничего не нашел.
Помогите
Printable View
Семантик обнаруживает Hacktool Rootkit, удаляет его, а после загрузки он опять появляется!
Доктор Веб ничего не нашел.
Помогите
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Логи
Где Симантек обнаруживает руткит? В логах ничего плохого не видно.
С:\Windows\system32\drivers\synsenddrv.sys
Спасибо и извините - проморгал...:blink:
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('synsend');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
новые логи
отправил карантин
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('xcugnvwtgcz');
QuarantineFile('C:\WINDOWS\system32\drivers\kwzboorkkm.sys','');
QuarantineFile('00000B9A.sys','');
DeleteService('xcugnvwtgcz');
DeleteService('Bonjour Service');
DeleteFile('C:\WINDOWS\system32\drivers\kwzboorkkm.sys');
DeleteFile('00000B9A.sys');
DeleteFile('%programfiles%\bonjour\mdnsresponder.exe');
DeleteFile('%programfiles%\bonjour\mdnsNSP.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xcugnvwtgcz');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Отправил карантин
Теперь логи
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
ClearQuarantine;
end.
[/CODE]
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\drivers\synsenddrv.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('synsend');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteService('Bonjour Service');
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
DeleteFile('C:\Program Files\Bonjour\mdnsNSP.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Не запускается IceSword
пишет: Initialize failed
[QUOTE=FEV1974;322816]Не запускается IceSword
пишет: Initialize failed[/QUOTE]Попробуйте запустить в безопасном режиме.
Ice Sword запустился в безопасном режиме, но ничего не обнаружил.
Высылаю карантин, новые логи.
[QUOTE=FEV1974;323070]Ice Sword запустился в безопасном режиме, но ничего не обнаружил.[/QUOTE]А он и не должен был :rolleyes: - Вы должны были поискать с его помощью. По крайней мере сейчас в логах ничего подозрительного.
Сервис Пак 3 (возможно потербуется повторная активация)+ИЕ7 нужно поставить.
Извините, я неправильно написал:
я поискал с помощью IceSword и ничего не нашел
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Насчет Сервис пак 3 и ИЕ7 - это рекомендация?
[QUOTE=FEV1974;323077]Насчет Сервис пак 3 и ИЕ7 - это рекомендация?[/QUOTE]... притом - настоятельная :xmas:
Спасибо!:rolleyes:
С новым годом!:rolleyes:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\kwzboorkkm.sys - [B]Trojan.Win32.Pakes.mcu[/B] (DrWEB: Trojan.Spambot.3548)[/LIST][/LIST]