Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Помогите пожалуйста с Win32/Rootkit.Agent.NIJ

IgorBV

Автор IgorBV
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

IgorBV Новичок

IgorBV

Опубликовано
Опубликовано

Антирвирус выдает следующее сообщение с некоторой переодичностью:

 

C:\WINDOWS\system32\drivers\synsenddrv.sys

Win32/Rootkit.Agent.NIJ троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM

Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.

 

Заранее спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Сколько антивирусов у Вас стоит. В логах следы двух. Нужно оставить один

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\3e1DA0F.sys','');
DeleteService('3e1DA0F');
QuarantineFile('00000764.sys','');
DeleteFile('00000764.sys');
DeleteFile('C:\WINDOWS\system32\3e1DA0F.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('hex(7):');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Обновите базы AVZ

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
IgorBV Новичок

IgorBV

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо! Все сделал как сказано. Карантин отправил. Антивирус стоит один. Вот новые логи:

 

 

 

 

Ответ с newvirus@kaspersky.com:

 

Здравствуйте,

 

 

3e1DA0F.sys

 

Вредоносный код в файле не обнаружен.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем IgorBV
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)
Внимание ! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Выполните: 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('osmgxy');
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\osmgxy.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\osmgxy.sys','');
BC_ImportAll;
BC_DeleteSvc('synsend');
BC_DeleteSvc('osmgxy');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Как отослать уже знаете.

 

Обновите базы AVZ и сделайте новый комплект логов!

 

Скачайте Vba32 AntiRootkit отсюда или отсюда.

 

- Распакуйте архив и запустите программу (исполняемый файл Vba32arkit.exe);

- Уберите галочку с Use AntiVirus Kernel;

- Вверху слева выберите меню File -> Logging State и нажмите Start;

- Сохраните лог (файл Vba32arkitLog), запакуйте его в архив и прикрепите его к следующему сообщению.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Проверьте на www.virustotal.com

C:\Program Files\AVG\AVG8\avgssie.dll

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexander6624
      помогите пожалуйста удалить вирус.
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • Чилипиздрик
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Belvol
      [РЕШЕНО] Не удаляется вирус Win32/Trojan.Generic.HgLATxcA
      Автор Belvol
      Здравствуйте. Поймал троян-майнер. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.01-00.20.zip
    • Александр Черенов
      Зашифрованы диски на серверах BitLocker, все кроме системных. Помогите пожалуйста
      Автор Александр Черенов
      Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)
      На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.
      Мой номер +7919893**** (ватсап, телега, звонки)
×
×
  • Создать...