Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)
-   -   Rootkit.Win32.Small.bk (https://forum.antichat.xyz/showthread.php?t=143945)

humansapiens 27.09.2009 10:29
Rootkit.Win32.Small.bk
 
Оповещение KIS7.
Файл содержит троянскую программу. Лечение нвозможно: отсутствуют права на запись.
C:\WINDOWS\system32\drivers\synsenddrv.sys

Как от него избавиться?

Ctacok 27.09.2009 10:36
отключите антивирус !
выполните скрипт ...
Цитата:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('slnaluucvurnj');
BC_DeleteSvc('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv .sys');
DeleteFile('C:\WINDOWS\system32\drivers\enrbaivawx r.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Источник
V_Bond 7.11.2008 17:19

Bpeguha 27.09.2009 10:37
или качай http://www.spywaredb.com/spywaredoctor.php и удаляй.

humansapiens 27.09.2009 10:38
что самое интересное включено отображение скрытых файлов и папок, и я его там не вижу...

Keltos 27.09.2009 10:39
Цитата:
Сообщение от humansapiens
что самое интересное включено отображение скрытых файлов и папок, и я его там не вижу...
Тоже самое и у меня, вчера был другой вирус всю систему тормозил, потом я его очистил, но скрытые файлы не вижу

humansapiens 27.09.2009 10:43
скрытые файлы через реестр правь.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL в реестре для параметра CheckedValue поставьте значение 1


я этот synsenddrv.sys на карантин хотел поставить в каспере. а он пишет, что файл не найден...хз что и думать

Keltos 27.09.2009 10:48
каспер не поможет юзай cureit

Keltos 27.09.2009 10:55
Цитата:
Сообщение от humansapiens
скрытые файлы через реестр правь.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL в реестре для параметра CheckedValue поставьте значение 1


я этот synsenddrv.sys на карантин хотел поставить в каспере. а он пишет, что файл не найден...хз что и думать
не помогло

humansapiens 27.09.2009 11:01
в смысле файлы не показывает? или что?
Ctacok, я смотрел эти форумы, выполнил скрипт. далее рестарт системы и снова он этот вирь нашел, хотя его я не вижу, может запись о нем где осталась...

aws 27.09.2009 11:03
Никак!

DreHows 27.09.2009 11:09
На всякий случай просмотри в папке windows и system32 на подозрительные файлы.
Когдавыполняешь скрипт советую вырубать explorer.exe и ctfmon.exe
У меня когда-то что-то подобное было, затер все через тотал командер.
Если отображает скрытые но не можешь найти вирь, попробуй снять галочку с "Скрывать защищенные системные файлы".

Keltos 27.09.2009 11:21
чтобы вернуть Свойства папки после работы некоторых вирусов (в частности fun.xls.exe, частенько попадает на флешки) позволяют следующие манипуляции:

2. Запускаем редактор реестра (Пуск -- Выполнить -- regedit).
3. Ищем ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\
Advanced\Folder\Hidden\SHOWALL\CheckedValue если его тип строковый, значение 0 - удаляем его.
4. ищем ключ
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1.
5. Возвращаемся в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\
Advanced\Folder\Hidden\SHOWALL и создаем снова ранее удаленный ключ CheckedValue со значением 1 (тип DWORD).
Перезагружаемся.


Время: 12:00