PDA

Просмотр полной версии : Rootkit.Win32.Small.bk

humansapiens
27.09.2009, 10:29
Оповещение KIS7.
Файл содержит троянскую программу. Лечение нвозможно: отсутствуют права на запись.
C:\WINDOWS\system32\drivers\synsenddrv.sys

Как от него избавиться?
Ctacok
27.09.2009, 10:36
отключите антивирус !
выполните скрипт ...

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('slnaluucvurnj');
BC_DeleteSvc('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv .sys');
DeleteFile('C:\WINDOWS\system32\drivers\enrbaivawx r.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Источник (http://forum.kaspersky.com/lofiversion/index.php/t90670.html)
V_Bond 7.11.2008 17:19
Bpeguha
27.09.2009, 10:37
или качай http://www.spywaredb.com/spywaredoctor.php и удаляй.
humansapiens
27.09.2009, 10:38
что самое интересное включено отображение скрытых файлов и папок, и я его там не вижу...
Keltos
27.09.2009, 10:39
что самое интересное включено отображение скрытых файлов и папок, и я его там не вижу...
Тоже самое и у меня, вчера был другой вирус всю систему тормозил, потом я его очистил, но скрытые файлы не вижу
humansapiens
27.09.2009, 10:43
скрытые файлы через реестр правь.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL в реестре для параметра CheckedValue поставьте значение 1


я этот synsenddrv.sys на карантин хотел поставить в каспере. а он пишет, что файл не найден...хз что и думать
Keltos
27.09.2009, 10:48
каспер не поможет юзай cureit
Keltos
27.09.2009, 10:55
скрытые файлы через реестр правь.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL в реестре для параметра CheckedValue поставьте значение 1


я этот synsenddrv.sys на карантин хотел поставить в каспере. а он пишет, что файл не найден...хз что и думать
не помогло
humansapiens
27.09.2009, 11:01
в смысле файлы не показывает? или что?
Ctacok, я смотрел эти форумы, выполнил скрипт. далее рестарт системы и снова он этот вирь нашел, хотя его я не вижу, может запись о нем где осталась...
aws
27.09.2009, 11:03
Никак!
DreHows
27.09.2009, 11:09
На всякий случай просмотри в папке windows и system32 на подозрительные файлы.
Когдавыполняешь скрипт советую вырубать explorer.exe и ctfmon.exe
У меня когда-то что-то подобное было, затер все через тотал командер.
Если отображает скрытые но не можешь найти вирь, попробуй снять галочку с "Скрывать защищенные системные файлы".
Keltos
27.09.2009, 11:21
чтобы вернуть Свойства папки после работы некоторых вирусов (в частности fun.xls.exe, частенько попадает на флешки) позволяют следующие манипуляции:

2. Запускаем редактор реестра (Пуск -- Выполнить -- regedit).
3. Ищем ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\
Advanced\Folder\Hidden\SHOWALL\CheckedValue если его тип строковый, значение 0 - удаляем его.
4. ищем ключ
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1.
5. Возвращаемся в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\
Advanced\Folder\Hidden\SHOWALL и создаем снова ранее удаленный ключ CheckedValue со значением 1 (тип DWORD).
Перезагружаемся.