Показано с 1 по 18 из 18.

Trojan.NtRootKit.1653 (заявка № 60219)

  1. #1
    Junior Member Репутация
    Регистрация
    11.11.2009
    Сообщений
    9
    Вес репутации
    53

    Thumbs up Trojan.NtRootKit.1653

    Здравствуйте, требуется ваша помощь. Dr.Web периодически обнаруживает вирус по адресу:
    "C:\WINDOWS\system32\drivers\synsenddrv.sys - инфицирован Trojan.NtRootKit.1653".

    Удаляю его, но через некоторое время появляется тоже самое сообщение. Помогите избавиться от этой заразы.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Пофиксить в HijackThis(некоторых строчек может и не быть)
    Код:
    O2 - BHO: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file)
    R3 - URLSearchHook: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file)
    F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
    3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file)
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    ПК перезагрузите.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('xnupwwv');
     DeleteService('Winqw85');
     DeleteService('synsend');
     QuarantineFile('C:\WINDOWS\system32\~.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('00000880.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqw85.sys');
     DeleteFile('xnupwwv.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     DeleteFile('C:\WINDOWS\system32\~.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы


    Сделайте новые логи.
    Последний раз редактировалось Bratez; 14.11.2009 в 13:57.

  4. #3
    Junior Member Репутация
    Регистрация
    11.11.2009
    Сообщений
    9
    Вес репутации
    53
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Пофиксить в HijackThis(некоторых строчек может и не быть)
    выполнено

    Цитата Сообщение от snifer67 Посмотреть сообщение
    Выполните скрипт в avz
    выполнено


    Цитата Сообщение от snifer67 Посмотреть сообщение
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    карантин прислать не могу, так как он пустой

    новые логи пересылаю

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('synsend');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Сделайте новый лог virusinfo_syscheck

  6. #5
    Junior Member Репутация
    Регистрация
    11.11.2009
    Сообщений
    9
    Вес репутации
    53
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Выполните скрипт в avz
    сделано


    Цитата Сообщение от snifer67 Посмотреть сообщение
    Сделайте новый лог virusinfo_syscheck
    сделано

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполните скрипт:
    Код:
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\hqkxlj.sys','');
     DeleteService('xnupwwv');
     QuarantineFile('C:\WINDOWS\system32\drivers\0000066B.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\0000066B.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\hqkxlj.sys');
    BC_ImportAll;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Повторите логи AVZ
    Если что-то в карантин попадет, то пришлите.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    11.11.2009
    Сообщений
    9
    Вес репутации
    53
    Цитата Сообщение от PavelA Посмотреть сообщение
    Выполните скрипт:
    сделал


    Цитата Сообщение от PavelA Посмотреть сообщение
    Повторите логи AVZ
    Если что-то в карантин попадет, то пришлите.
    карантин выслал, новые логи прилагаю

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Опять возродился.
    Действовать будем так:
    при помощи Icesword убиваем драйвер с примерным именем:00000880.sys
    после этого сразу же выполняем скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     
     DeleteService('synsend');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить логи.
    Последний раз редактировалось PavelA; 14.11.2009 в 20:51.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    11.11.2009
    Сообщений
    9
    Вес репутации
    53
    при помощи Icesword убиваем драйвер с примерным именем:00000880.sys
    Icesword скачал, но как найти и убить этот драйвер не понимаю, подскажите пожалуйста!!!

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    http://virusinfo.info/showthread.php?t=17228 - тут расписано.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    11.11.2009
    Сообщений
    9
    Вес репутации
    53
    при помощи Icesword убиваем драйвер с примерным именем:00000880.sys
    извините, но подобного файла среди sys не нашел, что делать в таком случае?

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    http://virusinfo.info/showpost.php?p=508814&postcount=8 - Скрипт выполнить и логи AVZ повторить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    11.11.2009
    Сообщений
    9
    Вес репутации
    53
    Скрипт выполнить и логи AVZ повторить
    сделано. Dr.Web, кстати, руткита больше не обнаруживает.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Порядок

    Установите SP3 (может потребоваться активация) + все новые заплатки
    Установите Internet Explorer 8
    Установите Adobe Acrobat 9.2 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    11.11.2009
    Сообщений
    9
    Вес репутации
    53
    Цитата Сообщение от thyrex Посмотреть сообщение
    Порядок

    Установите SP3 (может потребоваться активация) + все новые заплатки
    Установите Internet Explorer 8
    Установите Adobe Acrobat 9.2 или удалите старый
    Все ПО обновил. Я не понял, вирус то отловился или еще нет?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    В логах чисто. Проблема ушла?

  18. #17
    Junior Member Репутация
    Регистрация
    11.11.2009
    Сообщений
    9
    Вес репутации
    53
    В логах чисто. Проблема ушла?
    Да вроде ушла, антивирус больше ничего не обнаруживает. Спасибо!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Василёк, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.NtRootKit.1653 в synsenddrv.sys
      От ant0n в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 01.07.2010, 10:33
    2. synsenddrv.sys - инфицирован Trojan.NtRootKit.1653
      От Andy.L в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 18.02.2010, 20:10
    3. Trojan.NtRootKit.1653
      От Алёнушка в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 25.11.2009, 18:10
    4. Помогите с Trojan.NtRootKit.1653
      От smoll2000 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.10.2009, 18:56
    5. Trojan.NtRootKit.1653
      От vital в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.11.2008, 14:30

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00771 seconds with 19 queries