Показано с 1 по 18 из 18.

Не могу добить sysenddrv.sys - прошу помощи (заявка № 40820)

  1. #1
    Junior Member Репутация
    Регистрация
    02.03.2009
    Сообщений
    46
    Вес репутации
    56

    Question Не могу добить sysenddrv.sys - прошу помощи

    Система - Windows XP SP3
    Антивирус - Symantec Endpoint Protection

    Постоянно находится и удаляется sysenddrv.sys. Шлётся спам. Проход DrWeb CureIt ничего не дал. Прошу помощи...
    Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить:
    Код:
    begin
    SetAVZPMStatus(True);
    
    RebootWindows(true);
    end.
    Повторить логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    02.03.2009
    Сообщений
    46
    Вес репутации
    56
    К сожалению - не могу.
    Мышь и клавиатура зависают. В Safe Mode - сразу же, в обычном режиме - 2-3 действия дает сделать.

    Что делать?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от BlackVic Посмотреть сообщение
    Что делать?
    А что Вы можете в такой ситуации предложить?

  6. #5
    Junior Member Репутация
    Регистрация
    02.03.2009
    Сообщений
    46
    Вес репутации
    56
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А что Вы можете в такой ситуации предложить?
    Снизошло озарение в виде USB-мыши...
    С ее помощью был выполнен скрипт, о котором писалось выше - проблема временно исчезла, проявившись при изготовлении лога virusinfo_syscheck.zip.

    Новые логи прилагаются...
    Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

  8. #7
    Junior Member Репутация
    Регистрация
    02.03.2009
    Сообщений
    46
    Вес репутации
    56
    Гриша,

    Всё сделал, как Вы просили. Клавиатура опять не работала, потом вырубилась и мышь, но лог сохранён способом, описанным выше...
    Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.

  9. #8
    Junior Member Репутация
    Регистрация
    02.03.2009
    Сообщений
    46
    Вес репутации
    56
    Посмотрите, пожалуйста, может кто-нибудь поможет добить зверька, вроде бы найденного gmer-ом?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от BlackVic Посмотреть сообщение
    Снизошло озарение в виде USB-мыши...
    А еще одно озарение в виде USB-клавиатуры не снизошло?

    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\Drivers\ajt0wqgg.SYS','');                                                                 
    QuarantineFile('C:\WINDOWS\system32\drivers\rualigoudn.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    Последний раз редактировалось Rene-gad; 03.03.2009 в 17:38.

  11. #10
    Junior Member Репутация
    Регистрация
    02.03.2009
    Сообщений
    46
    Вес репутации
    56
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А еще одно озарение в виде USB-клавиатуры не снизошло?
    За неимением гербовой бумаги, пришлось писАть на простой - под рукой абсолютно случайно оказалась только мышь, клавиатурой в окрУге не пахнет...

    Скрипт выполнил, после перезагрузки этот гад всё равно выскакивает. По клавомышиным делам ситуация такая: пока не нажмешь что-нибудь на клавиатуре - мышь работает, нажмёшь - обрубаются обе и тогда в дело пускается USBшная.

    Карантин выслал, получен ли он?
    Последний раз редактировалось Rene-gad; 03.03.2009 в 17:38.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\drivers\rualigoudn.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново лог Гмера. Если не удалиться, то удалять через
    Гмер.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от BlackVic Посмотреть сообщение
    Скрипт выполнил, после перезагрузки этот гад всё равно выскакивает.
    Так скрипт ничего и должен был удалять.
    Цитата Сообщение от BlackVic Посмотреть сообщение
    Карантин выслал, получен ли он?
    Угу:
    rualigoudn.sys - Rootkit.Win32.Agent.htm

    Детектирование файла будет добавлено в следующее обновление.
    Выполните указания PavelA

  14. #13
    Junior Member Репутация
    Регистрация
    02.03.2009
    Сообщений
    46
    Вес репутации
    56
    Скрипт выполнен, гмер ничего не кричал (не то что в прошлый раз)

    Но "недокументированная возможность" в виде исчезновения "клавомыши" по нажатии любой клавиши клавиатуры, к сожалению, осталась.

    Что делать, какие логи присылать?

    Сделал новые логи, посмотрите, плиз...
    Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    Если Вам эти IP не знакомы пофиксите
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{493B4BC9-F117-44FC-AF30-51D9D58ADF1E}: NameServer = 10.0.15.114,217.21.50.10
    O17 - HKLM\System\CS1\Services\Tcpip\..\{493B4BC9-F117-44FC-AF30-51D9D58ADF1E}: NameServer = 10.0.15.114,217.21.50.10
    O17 - HKLM\System\CS3\Services\Tcpip\..\{493B4BC9-F117-44FC-AF30-51D9D58ADF1E}: NameServer = 10.0.15.114,217.21.50.10
    O17 - HKLM\System\CS4\Services\Tcpip\..\{493B4BC9-F117-44FC-AF30-51D9D58ADF1E}: NameServer = 10.0.15.114,217.21.50.10
    O17 - HKLM\System\CS5\Services\Tcpip\..\{493B4BC9-F117-44FC-AF30-51D9D58ADF1E}: NameServer = 10.0.15.114,217.21.50.10
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('synsend');
     StopService('akibmkvluvmygsk');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rualigoudn.sys','');
     DeleteService('synsend');
     DeleteService('akibmkvluvmygsk');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\rualigoudn.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('synsend');
     BC_DeleteSvc('akibmkvluvmygsk');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  16. #15
    Junior Member Репутация
    Регистрация
    02.03.2009
    Сообщений
    46
    Вес репутации
    56
    1. Программы - закрыл, антивирус выгрузить не могу - Symantec Endpoint 11.0.3001 как-то не очень хочет выгружаться... :-( Восстановление отключено как класс и давно.

    2. IPшники знакомы ОЧЕНЬ ХОРОШО - наши они, посему не фиксил...
    3. Скрипт выполнил, с помощью AVZ и рук очистил вышеуказанное, запустил ослика IE и сделал логи - прилагаются.
    4. Карантин закачиваться не желает по причине "Данный файл уже был загружен"

    5. Соответственно - всё делается на инфицированной машине только мышом, с помощью флэшки перетаскивается на другую и результаты посылаются уже оттуда...

    Кстати, после перезагрузки полезли "тараканы" с разными именами и расширением *tmp...

    что делать дальше?
    Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах ничего плохого не видно. Может кофе на клавиатуру разлился? Попробуйте ее заменить.

  18. #17
    Junior Member Репутация
    Регистрация
    02.03.2009
    Сообщений
    46
    Вес репутации
    56
    Менял...
    Несколько клавиатур на выбор - все рабочие (по крайней мере были до подключения к этой машине).
    Единственное, что вспоминается - это то, что появилась сия "радость" после первого прохода по машине AVZ...

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\rualigoudn.sys - Rootkit.Win32.Agent.htm( DrWEB: Trojan.NtRootKit.2632 )


  • Уважаемый(ая) BlackVic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 27.11.2011, 19:59
    2. Ответов: 3
      Последнее сообщение: 03.11.2011, 11:33
    3. Ответов: 1
      Последнее сообщение: 19.05.2011, 20:21
    4. Прошу помощи - не могу вычистить Trojan.Pandex
      От stbln в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:33
    5. Ответов: 8
      Последнее сообщение: 22.02.2009, 07:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00207 seconds with 17 queries