Проявления стандартны. DrWeb в безопасном режиме удаляет, однако при перезагрузке synsenddrv.sys опять на месте. Помогите pls? Логи приаттачил.
Printable View
Проявления стандартны. DrWeb в безопасном режиме удаляет, однако при перезагрузке synsenddrv.sys опять на месте. Помогите pls? Логи приаттачил.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
BC_DeleteSvc('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
новые логи
В AVZ -> файл- Выполнить скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('synsend', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\drivers\kqozsbo.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kqozsbo.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end. [/code]
Пришлите карантин по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=35913"]http://virusinfo.info/upload_virus.php?tid=35913[/URL]
Повторите логи.
[quote=light59;323789]
Пришлите карантин по ссылке [URL]http://virusinfo.info/upload_virus.php?tid=35913[/URL]
Повторите логи.[/quote]
Карантин прислал. Новые логи.
Интересно, что после перезагрузки винда нашла какое-то новое оборудование и предложила поставить драйвера. Ей было отказано. В девайс менеджере это оборудование значится в other devices. Какой-либо другой информации выудить не удалось. Что бы это значило?
Это драйвер AVZ, не бойтесь его.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
C:\WINDOWS\system32\drivers\kqozsbo.sys - искать через Icesword и удалять.
после этого повторить скрипт из мсж №4 и сделать новые логи.
Iceword не видит kqozsbo.sys
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('pbljimnwe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\kqozsbo.sys');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
новые логи.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
В логах чисто...
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\kqozsbo.sys - [B]Rootkit.Win32.Agent.frl[/B] (DrWEB: Trojan.Spambot.3548)[*] c:\\windows\\system32\\drivers\\synsenddrv.sys - [B]Rootkit.Win32.Small.bk[/B] (DrWEB: Trojan.NtRootKit.1653)[/LIST][/LIST]