Касперский на него ругается, но удалить не может: либо "отсутствуют права на запись", либо "файл не найден".
Касперский на него ругается, но удалить не может: либо "отсутствуют права на запись", либо "файл не найден".
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\drivers\synsenddrv.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\lfwwgcpuxdk.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('cd20xrnt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys',''); QuarantineFile('0000095D.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\lfwwgcpuxdk.sys'); BC_ImportAll; BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('yxokx'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33381
Повторите логи.
Файл через IceSword не виден.
Скрипт выполнил, карантин закачал.
Последний раз редактировалось Azro; 06.11.2008 в 13:45.
Готово.
Касперский 6 - удалите, версия не поддерживатеся, не может ловить современных зловредов.
Установите Сервис Пак 3, возможно потребуется активация системы.
В логах ничего подозрительного не нашел.
Спасибо!
Касперский после всех манипуляций загнулся, не работает файловый антивирус, так что по-любому придется заменить
По классификации ЛК:
lfwwgcpuxdk.sys - Rootkit.Win32.Agent.esp,
runtime2.sys - Rootkit.Win32.Agent.esq - свежие.
З.Ы. Возродился runtime2.sys. Давненько его у нас не пробегало.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Azro, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.