Rootkit.Win32.Small.bk

Discussion in 'Болталка' started by humansapiens, 27 Sep 2009.

  1. humansapiens

    humansapiens Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    84
    Likes Received:
    34
    Reputations:
    3
    Оповещение KIS7.
    Файл содержит троянскую программу. Лечение нвозможно: отсутствуют права на запись.
    C:\WINDOWS\system32\drivers\synsenddrv.sys

    Как от него избавиться?
     
  2. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    732
    Likes Received:
    646
    Reputations:
    251
    отключите антивирус !
    выполните скрипт ...
    Источник
    V_Bond 7.11.2008 17:19
     
  3. Bpeguha

    Bpeguha Elder - Старейшина

    Joined:
    30 Aug 2008
    Messages:
    0
    Likes Received:
    17
    Reputations:
    1
    или качай http://www.spywaredb.com/spywaredoctor.php и удаляй.
     
  4. humansapiens

    humansapiens Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    84
    Likes Received:
    34
    Reputations:
    3
    что самое интересное включено отображение скрытых файлов и папок, и я его там не вижу...
     
  5. Keltos

    Keltos Banned

    Joined:
    8 Jul 2009
    Messages:
    1,558
    Likes Received:
    920
    Reputations:
    520
    Тоже самое и у меня, вчера был другой вирус всю систему тормозил, потом я его очистил, но скрытые файлы не вижу
     
  6. humansapiens

    humansapiens Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    84
    Likes Received:
    34
    Reputations:
    3
    скрытые файлы через реестр правь.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL в реестре для параметра CheckedValue поставьте значение 1


    я этот synsenddrv.sys на карантин хотел поставить в каспере. а он пишет, что файл не найден...хз что и думать
     
  7. Keltos

    Keltos Banned

    Joined:
    8 Jul 2009
    Messages:
    1,558
    Likes Received:
    920
    Reputations:
    520
    каспер не поможет юзай cureit
     
  8. Keltos

    Keltos Banned

    Joined:
    8 Jul 2009
    Messages:
    1,558
    Likes Received:
    920
    Reputations:
    520
    не помогло
     
  9. humansapiens

    humansapiens Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    84
    Likes Received:
    34
    Reputations:
    3
    в смысле файлы не показывает? или что?
    Ctacok, я смотрел эти форумы, выполнил скрипт. далее рестарт системы и снова он этот вирь нашел, хотя его я не вижу, может запись о нем где осталась...
     
  10. aws

    aws New Member

    Joined:
    21 Sep 2009
    Messages:
    1
    Likes Received:
    4
    Reputations:
    0
    Никак!
     
  11. DreHows

    DreHows New Member

    Joined:
    21 Sep 2009
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    На всякий случай просмотри в папке windows и system32 на подозрительные файлы.
    Когдавыполняешь скрипт советую вырубать explorer.exe и ctfmon.exe
    У меня когда-то что-то подобное было, затер все через тотал командер.
    Если отображает скрытые но не можешь найти вирь, попробуй снять галочку с "Скрывать защищенные системные файлы".
     
  12. Keltos

    Keltos Banned

    Joined:
    8 Jul 2009
    Messages:
    1,558
    Likes Received:
    920
    Reputations:
    520
    чтобы вернуть Свойства папки после работы некоторых вирусов (в частности fun.xls.exe, частенько попадает на флешки) позволяют следующие манипуляции:

    2. Запускаем редактор реестра (Пуск -- Выполнить -- regedit).
    3. Ищем ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\
    Advanced\Folder\Hidden\SHOWALL\CheckedValue если его тип строковый, значение 0 - удаляем его.
    4. ищем ключ
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1.
    5. Возвращаемся в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\
    Advanced\Folder\Hidden\SHOWALL и создаем снова ранее удаленный ключ CheckedValue со значением 1 (тип DWORD).
    Перезагружаемся.