Trojan.NtRootKit.1653

Printable View

14.11.2009, 13:17
Василёк

Trojan.NtRootKit.1653

Здравствуйте, требуется ваша помощь. Dr.Web периодически обнаруживает вирус по адресу:
"C:\WINDOWS\system32\drivers\synsenddrv.sys - инфицирован Trojan.NtRootKit.1653".

Удаляю его, но через некоторое время появляется тоже самое сообщение. Помогите избавиться от этой заразы.
14.11.2009, 13:22
snifer67

Пофиксить в HijackThis(некоторых строчек может и не быть)
[code]
O2 - BHO: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file)
R3 - URLSearchHook: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
ПК перезагрузите.

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('xnupwwv');
DeleteService('Winqw85');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('00000880.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqw85.sys');
DeleteFile('xnupwwv.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\WINDOWS\system32\~.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
14.11.2009, 16:26
Василёк

[QUOTE='snifer67;508538']Пофиксить в HijackThis(некоторых строчек может и не быть)[/QUOTE]
выполнено

[QUOTE='snifer67;508538']Выполните скрипт в avz[/QUOTE]
выполнено

[QUOTE='snifer67;508538']Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы[/QUOTE]

карантин прислать не могу, так как он пустой

новые логи пересылаю
14.11.2009, 16:29
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Сделайте новый лог virusinfo_syscheck
14.11.2009, 19:06
Василёк

[QUOTE='snifer67;508664']Выполните скрипт в avz[/QUOTE]
сделано

[QUOTE='snifer67;508664']Сделайте новый лог virusinfo_syscheck[/QUOTE]
сделано
14.11.2009, 19:56
PavelA

Выполните скрипт:
[CODE]begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\hqkxlj.sys','');
DeleteService('xnupwwv');
QuarantineFile('C:\WINDOWS\system32\drivers\0000066B.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\0000066B.sys');
DeleteFile('C:\WINDOWS\system32\drivers\hqkxlj.sys');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Повторите логи AVZ
Если что-то в карантин попадет, то пришлите.
14.11.2009, 20:32
Василёк

[QUOTE='PavelA;508796']Выполните скрипт:[/QUOTE]
сделал

[QUOTE='PavelA;508796']Повторите логи AVZ
Если что-то в карантин попадет, то пришлите.[/QUOTE]
карантин выслал, новые логи прилагаю
14.11.2009, 20:37
PavelA

Опять возродился. :(
Действовать будем так:
при помощи Icesword убиваем драйвер с примерным именем:00000880.sys
после этого сразу же выполняем скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи.
14.11.2009, 21:34
Василёк

[QUOTE]при помощи Icesword убиваем драйвер с примерным именем:00000880.sys[/QUOTE]

Icesword скачал, но как найти и убить этот драйвер не понимаю, подскажите пожалуйста!!!
14.11.2009, 21:37
PavelA

[url]http://virusinfo.info/showthread.php?t=17228[/url] - тут расписано.
14.11.2009, 23:01
Василёк

[QUOTE]при помощи Icesword убиваем драйвер с примерным именем:00000880.sys[/QUOTE]
извините, но подобного файла среди sys не нашел, что делать в таком случае?
14.11.2009, 23:16
PavelA

[url]http://virusinfo.info/showpost.php?p=508814&postcount=8[/url] - Скрипт выполнить и логи AVZ повторить.
15.11.2009, 00:01
Василёк

[QUOTE]Скрипт выполнить и логи AVZ повторить[/QUOTE]
сделано. Dr.Web, кстати, руткита больше не обнаруживает.
15.11.2009, 00:26
thyrex

Порядок

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.2 или удалите старый
15.11.2009, 22:07
Василёк

[QUOTE='thyrex;508987']Порядок

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.2 или удалите старый[/QUOTE]
Все ПО обновил. Я не понял, вирус то отловился или еще нет?
15.11.2009, 22:13
pig

В логах чисто. Проблема ушла?
15.11.2009, 22:17
Василёк

[QUOTE]В логах чисто. Проблема ушла?[/QUOTE]
Да вроде ушла, антивирус больше ничего не обнаруживает. Спасибо!
16.11.2009, 22:17
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]