Помогите пожалуйста с Win32/Rootkit.Agent.NIJ

12 мая, 2009

Антирвирус выдает следующее сообщение с некоторой переодичностью:

C:\WINDOWS\system32\drivers\synsenddrv.sys

Win32/Rootkit.Agent.NIJ троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM

Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.

Заранее спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

12 мая, 2009

Сколько антивирусов у Вас стоит. В логах следы двух. Нужно оставить один

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\3e1DA0F.sys','');
DeleteService('3e1DA0F');
QuarantineFile('00000764.sys','');
DeleteFile('00000764.sys');
DeleteFile('C:\WINDOWS\system32\3e1DA0F.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('hex(7):');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

Обновите базы AVZ

Сделайте новые логи

12 мая, 2009

Спасибо! Все сделал как сказано. Карантин отправил. Антивирус стоит один. Вот новые логи:

Ответ с newvirus@kaspersky.com:

Здравствуйте,

3e1DA0F.sys

Вредоносный код в файле не обнаружен.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 12 мая, 2009 пользователем IgorBV

12 мая, 2009

Внимание ! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Выполните:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('osmgxy');
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\osmgxy.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\osmgxy.sys','');
BC_ImportAll;
BC_DeleteSvc('synsend');
BC_DeleteSvc('osmgxy');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Как отослать уже знаете.

Обновите базы AVZ и сделайте новый комплект логов!

Скачайте Vba32 AntiRootkit отсюда или отсюда.

- Распакуйте архив и запустите программу (исполняемый файл Vba32arkit.exe);

- Уберите галочку с Use AntiVirus Kernel;

- Вверху слева выберите меню File -> Logging State и нажмите Start;

- Сохраните лог (файл Vba32arkitLog), запакуйте его в архив и прикрепите его к следующему сообщению.

Изменено 12 мая, 2009 пользователем Falcon

12 мая, 2009

Вот новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

Vba32ArkitLog.zip

hijackthis.log

13 мая, 2009

Проверьте на www.virustotal.com

C:\Program Files\AVG\AVG8\avgssie.dll

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

14 мая, 2009

Спасибо большое! Проблема вроде решилась.

Помогите пожалуйста с Win32/Rootkit.Agent.NIJ

Рекомендуемые сообщения

IgorBV

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

IgorBV

Ссылка на комментарий

Поделиться на другие сайты

Falcon

Ссылка на комментарий

Поделиться на другие сайты

IgorBV

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

IgorBV

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum