-
Junior Member
- Вес репутации
- 53
Возможные руткиты после AVPTool
Здравствуйте, уважаемые эксперты!
Машинка явно что-то словила, вторую неделю работала медленно и печально, очень часто падает Mozilla.
Первый раз попытался лечить по указанным правилам 7.11.2009, результат AVPTool (из-под защищённого режима) был такой:
Код:
Обнаружено
----------
Статус Объект
------ ------
удалено: троянская программа Trojan-PSW.Win32.Kates.bw Файл: c:\windows\uwlg.old
удалено: троянская программа Exploit.Win32.Pidief.crv Файл: C:\Documents and Settings\Vickie\Local Settings\Temp\plugtmp-1\plugin-page1.php
удалено: троянская программа Exploit.Win32.Pidief.crv Файл: C:\Documents and Settings\Vickie\Local Settings\Temp\plugtmp-2\plugin-page1.php
Тогда у меня AVZ не запускался вообще, и переименование не помогало. Проблемы продолжались. Сегодня скачал крайние версии всех тулзов, в результате лечения AVPTool выдал:
Код:
Обнаружено
----------
Статус Объект
------ ------
удалено: троянская программа Trojan-PSW.Win32.Kates.q Файл: c:\windows\uwlg.old
AVZ теперь успешно запустился, и HiJackThis тоже. Логи прилагаются.
Пожалуйста, подскажите, успешно ли было лечение и опасны ли найденные подозрительные на руткит объекты:
Код:
C:\WINDOWS\system32\drivers\SandBox.sys
C:\WINDOWS\system32\drivers\afwcore.sys
spcn.sys
и если да, то как с ними бороться.
Заранее сердечно благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Tovarisch
опасны ли найденные подозрительные на руткит объекты
Это от Outpost и DAEMON Tools.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\System32\Drivers\CO_Mon.sys','');
QuarantineFile('winmgrd.exe','');
QuarantineFile('C:\WINDOWS\System32\wbem\scricon.exe','');
QuarantineFile('C:\WINDOWS\System32\keyhook.exe','');
QuarantineFile('C:\WINDOWS\System32\explorer.exe','');
QuarantineFile('C:\WINDOWS\System32\algs.exe','');
QuarantineFile('C:\WINDOWS\System32\Isass.exe','');
DeleteService('Reset 5');
DeleteService('MSDisk');
QuarantineFile('C:\WINDOWS\System32\irdvxc.exe','');
DeleteFile('C:\WINDOWS\System32\irdvxc.exe');
DeleteFile('C:\WINDOWS\System32\Isass.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\TrueVector Service','EventMessageFile');
DeleteFile('C:\WINDOWS\System32\algs.exe');
DeleteFile('C:\WINDOWS\System32\explorer.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SiS Windows KeyHook');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\vsdatant','EventMessageFile');
DeleteFile('C:\WINDOWS\System32\wbem\scricon.exe');
DeleteFile('winmgrd.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
-
Не видно ничего подозрительного.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
AndreyKa
Спасибо большое за помощь! 
Файл сбора загрузил: http://virusinfo.info/showpost.php?p...postcount=4180
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
