Trojan.NtRootKit.1653
Здравствуйте, требуется ваша помощь. Dr.Web периодически обнаруживает вирус по адресу:
"C:\WINDOWS\system32\drivers\synsenddrv.sys - инфицирован Trojan.NtRootKit.1653".
Удаляю его, но через некоторое время появляется тоже самое сообщение. Помогите избавиться от этой заразы.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксить в HijackThis(некоторых строчек может и не быть)
ПК перезагрузите.Code:O2 - BHO: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file) R3 - URLSearchHook: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file) F2 - REG:system.ini: Shell=explorer.exe rundll32.exe 3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file) O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Выполните скрипт в avz
ПК перезагрузится.Code:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('xnupwwv'); DeleteService('Winqw85'); DeleteService('synsend'); QuarantineFile('C:\WINDOWS\system32\~.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('00000880.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqw85.sys'); DeleteFile('xnupwwv.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit'); DeleteFile('C:\WINDOWS\system32\~.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Last edited by Bratez; 11-14-2009 at 01:57 PM.
выполненоOriginally Posted by snifer67
выполнено
карантин прислать не могу, так как он пустой
новые логи пересылаю
Выполните скрипт в avz
ПК перезагрузится.Code:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('synsend'); DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck
сделано
сделано
Выполните скрипт:
Повторите логи AVZCode:begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\hqkxlj.sys',''); DeleteService('xnupwwv'); QuarantineFile('C:\WINDOWS\system32\drivers\0000066B.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\0000066B.sys'); DeleteFile('C:\WINDOWS\system32\drivers\hqkxlj.sys'); BC_ImportAll; ExecuteSysClean; RebootWindows(true); end.
Если что-то в карантин попадет, то пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
сделал
карантин выслал, новые логи прилагаю
Опять возродился.
Действовать будем так:
при помощи Icesword убиваем драйвер с примерным именем:00000880.sys
после этого сразу же выполняем скрипт:
Повторить логи.Code:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('synsend'); DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Last edited by PavelA; 11-14-2009 at 08:51 PM.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Icesword скачал, но как найти и убить этот драйвер не понимаю, подскажите пожалуйста!!!при помощи Icesword убиваем драйвер с примерным именем:00000880.sys
http://virusinfo.info/showthread.php?t=17228 - тут расписано.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
извините, но подобного файла среди sys не нашел, что делать в таком случае?при помощи Icesword убиваем драйвер с примерным именем:00000880.sys
http://virusinfo.info/showpost.php?p=508814&postcount=8 - Скрипт выполнить и логи AVZ повторить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
сделано. Dr.Web, кстати, руткита больше не обнаруживает.Скрипт выполнить и логи AVZ повторить
Порядок
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.2 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все ПО обновил. Я не понял, вирус то отловился или еще нет?
В логах чисто. Проблема ушла?
Да вроде ушла, антивирус больше ничего не обнаруживает. Спасибо!В логах чисто. Проблема ушла?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Василёк, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Posting Permissions
