Junior Member
Вес репутации
57
Trojan.NtRootKit
Добрый день.
Нуждаюсь в Вашей помощи.
При сканировании Dr.Web обнаружен троян:
Процесс в памяти: C:\WINDOWS\system32\svchost.exe:1472 Trojan.NtRootKit.2415 Обезврежен.;
synsenddrv.sys c:\windows\system32\drivers Trojan.NtRootKit.1653 Удален.;
В безопасном режиме вирус удаляется, однако после перезагрузки вновь появляется.
После отключение восстановления системы в безопасном режиме Dr.Web вирус не обнаружил.
После перезагрузки все повтаряется как описано выше.
После работы AVZ в карантин попало три файла.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wpv8414.cpx/r','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\mv61xx.sys','');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\wpv8414.cpx/r');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Выполнил.
virus.zip карантин после выполнения скрипта.
virus2.zip карантин после стандартной процедуры.
Вложения
Одного прозевал. Еще один скрипт.
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Действия после него те же.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Добрый вечер, продолжим ...
Карантин выслал, логи прикрепил.
Вложения
Установите AVZPM и повторите логи AVZ...
Junior Member
Вес репутации
57
Установил.
Логи прилагаются, карантин выслал.
Может чего неправильно делаю?
Вложения
Скачать IceSword. В нем найти и удалить:
C:\WINDOWS\system32\drivers\synsenddrv.sys
C:\WINDOWS\system32\drivers\nwpdxewngu.sys через force delete
Затем скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('synsend', 4);
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('\??\C:\WINDOWS\system32\drivers\nwpdxewngu.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Все выполнил.
ПОсле запуска скрипта в карнтине файлов не оказалось.
После стандартного сценария №3 в карантине появились файлы.
Карантин выслал.
Вложения
synsenddrv.sys - Rootkit.Win32.Small.bk по ЛК.
Выполнить
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('lzfndrkis');
DeleteFile('C:\WINDOWS\system32\drivers\nwpdxewngu.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\nwpdxewngu.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
ПОсле запуска скрипта в карнтине файлов не оказалось.
После стандартного сценария №3 в карантине появились файлы.
Карантин выслал.
Dr.Web вирусов больше не обнаруживает.
Вложения
Junior Member
Вес репутации
57
Junior Member
Вес репутации
57
Добрый вечер.
Проанализируйте последние логи.
Вирус удален?
Во время стандартного скрипта №3 в карнтин попало три файла.
Похоже, все удалилось. Можно карантин почистить чтобы а/вирус в дальнейшем не ругался.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 7 Обработано файлов: 32 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\synsenddrv.sys - Rootkit.Win32.Small.bk (DrWEB: Trojan.NtRootKit.1653)