Постояно находит Руткиты.

**Paha36** · 30.12.2010, 00:42

У меня стоит Аваст и он постояно находит в разных местах. При простой проверке avz находит руткититы и неможет определить перехватчика, при проверке аваст находит, вроде удаляет а через время все опять повторяется....Помогите пожалуйста...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 30.12.2010, 00:44

http://virusinfo.info/pravila.html

**Paha36** · 30.12.2010, 00:54

Ну что не так? вроде всё сделал по правилам...

**polword** · 30.12.2010, 01:56

- Выполните скрипт в AVZ

Код:

procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Spy And Control\sac.dll','');
 QuarantineFile('C:\Program Files\iZ3D Driver\Win32\S3DInjector.dll','');
 QuarantineFile('C:\Program Files\Spy And Control\Spy And Control.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-2556511810-6734884370-838628345-3448\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-2556511810-6734884370-838628345-3448\syscr.exe');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9322746890-6266447939-832123359-7957\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-9322746890-6266447939-832123359-7957\syscr.exe');
 WhatService('cxgoxwch');
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_ImportAll;
 BC_Activate;
 SaveLog(GetAVZDirectory+'cxgoxwch.log');
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл cxgoxwch.log прикрепите к сообщению

**Paha36** · 30.12.2010, 02:52

Вроде так:

**polword** · 30.12.2010, 03:16

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\clkgdtkk.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cxgoxwch\Parameters','ServiceDll');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\cxgoxwch');
 DeleteFile('C:\RECYCLER\S-1-5-21-2556511810-6734884370-838628345-3448\syscr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9322746890-6266447939-832123359-7957\syscr.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteSvcReg('cxgoxwch');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM