-
Junior Member
- Вес репутации
- 53
Trojan.NtRootKit.1653
Здравствуйте, требуется ваша помощь. Dr.Web периодически обнаруживает вирус по адресу:
"C:\WINDOWS\system32\drivers\synsenddrv.sys - инфицирован Trojan.NtRootKit.1653".
Удаляю его, но через некоторое время появляется тоже самое сообщение. Помогите избавиться от этой заразы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HijackThis(некоторых строчек может и не быть)
Код:
O2 - BHO: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file)
R3 - URLSearchHook: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {0821ec26-1de4-47f7-bb30-47569d68c593} - (no file)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('xnupwwv');
DeleteService('Winqw85');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('00000880.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqw85.sys');
DeleteFile('xnupwwv.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\WINDOWS\system32\~.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','advap32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Последний раз редактировалось Bratez; 14.11.2009 в 13:57.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
snifer67
Пофиксить в HijackThis(некоторых строчек может и не быть)
выполнено
Сообщение от
snifer67
Выполните скрипт в avz
выполнено
Сообщение от
snifer67
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
карантин прислать не могу, так как он пустой
новые логи пересылаю
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новый лог virusinfo_syscheck
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
snifer67
Выполните скрипт в avz
сделано
Сообщение от
snifer67
Сделайте новый лог virusinfo_syscheck
сделано
-
Выполните скрипт:
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\hqkxlj.sys','');
DeleteService('xnupwwv');
QuarantineFile('C:\WINDOWS\system32\drivers\0000066B.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\0000066B.sys');
DeleteFile('C:\WINDOWS\system32\drivers\hqkxlj.sys');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.
Повторите логи AVZ
Если что-то в карантин попадет, то пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
PavelA
Выполните скрипт:
сделал
Сообщение от
PavelA
Повторите логи AVZ
Если что-то в карантин попадет, то пришлите.
карантин выслал, новые логи прилагаю
-
Опять возродился.
Действовать будем так:
при помощи Icesword убиваем драйвер с примерным именем:00000880.sys
после этого сразу же выполняем скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи.
Последний раз редактировалось PavelA; 14.11.2009 в 20:51.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
при помощи Icesword убиваем драйвер с примерным именем:00000880.sys
Icesword скачал, но как найти и убить этот драйвер не понимаю, подскажите пожалуйста!!!
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
при помощи Icesword убиваем драйвер с примерным именем:00000880.sys
извините, но подобного файла среди sys не нашел, что делать в таком случае?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнить и логи AVZ повторить
сделано. Dr.Web, кстати, руткита больше не обнаруживает.
-
Порядок
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.2 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Порядок
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.2 или удалите старый
Все ПО обновил. Я не понял, вирус то отловился или еще нет?
-
В логах чисто. Проблема ушла?
-
-
Junior Member
- Вес репутации
- 53
В логах чисто. Проблема ушла?
Да вроде ушла, антивирус больше ничего не обнаруживает. Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-