Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Помогите пожалуйста с Win32/Rootkit.Agent.NIJ

IgorBV

От IgorBV
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

IgorBV Новичок

IgorBV

Опубликовано
Опубликовано

Антирвирус выдает следующее сообщение с некоторой переодичностью:

 

C:\WINDOWS\system32\drivers\synsenddrv.sys

Win32/Rootkit.Agent.NIJ троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM

Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.

 

Заранее спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Сколько антивирусов у Вас стоит. В логах следы двух. Нужно оставить один

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\3e1DA0F.sys','');
DeleteService('3e1DA0F');
QuarantineFile('00000764.sys','');
DeleteFile('00000764.sys');
DeleteFile('C:\WINDOWS\system32\3e1DA0F.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('hex(7):');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Обновите базы AVZ

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
IgorBV Новичок

IgorBV

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо! Все сделал как сказано. Карантин отправил. Антивирус стоит один. Вот новые логи:

 

 

 

 

Ответ с newvirus@kaspersky.com:

 

Здравствуйте,

 

 

3e1DA0F.sys

 

Вредоносный код в файле не обнаружен.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем IgorBV
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)
Внимание ! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Выполните: 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('osmgxy');
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\osmgxy.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\osmgxy.sys','');
BC_ImportAll;
BC_DeleteSvc('synsend');
BC_DeleteSvc('osmgxy');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Как отослать уже знаете.

 

Обновите базы AVZ и сделайте новый комплект логов!

 

Скачайте Vba32 AntiRootkit отсюда или отсюда.

 

- Распакуйте архив и запустите программу (исполняемый файл Vba32arkit.exe);

- Уберите галочку с Use AntiVirus Kernel;

- Вверху слева выберите меню File -> Logging State и нажмите Start;

- Сохраните лог (файл Vba32arkitLog), запакуйте его в архив и прикрепите его к следующему сообщению.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Проверьте на www.virustotal.com

C:\Program Files\AVG\AVG8\avgssie.dll

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

×
×
  • Создать...