-
Вложений: 3
Руткит
Здравствуйте! При сканировании Аваст сообщил о наличии руткитов в системных файлах. Предложил "удалить немедленно" и провести полное сканирование перед загрузкой Windows. После загрузки Windows снова обнаруживается все тот же "пакет" руткитов и повторяется сказка про белого бычка. При сканировании Curelt в безопасном режиме вирусов не обнаружено. При сканировании в AVZ запуск драйвера расширенного мониторинга прерывается сообщением сканера Аваст, что в драйверах обнаружен руткит. Происходит ошибка загрузки драйвера (С0000034), после чего проверка продолжается и AVZ никаких вредоносных программ не находит.
-
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('psyche', 4);
QuarantineFile('E:\Program files\AGAVA AntiSpy\ah.exe','');
QuarantineFile('C:\WINDOWS\System32\psyche.exe','');
DeleteFile('msansspc.dll');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
DeleteService('psyche');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Включите AVZPM и повторите логи.
-
Вложений: 3
-
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('psyche');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Проблема решена?
-
Вложений: 2
Нет... :( Не решена... Снова при запуске AVZ сканер Аваст сообщает о наличии Win32Rootkit по адресу C:/Windows/system32/Drivers/utm3otm5.sys, а при сканировании Аваст опять выдает список из 15 зараженных "скрытм руткитом" файлах :(
-
[quote=sadbadger;321255]при запуске AVZ сканер Аваст сообщает о наличии Win32Rootkit по адресу C:/Windows/system32/Drivers/utm3otm5.sys[/quote]
А разве не написано в правилах, что надо отключать антивирус при запуске AVZ?? utm3otm5.sys - это драйвер от AVZ.
[QUOTE]
Аваст опять выдает список из 15 зараженных "скрытм руткитом" файлах [/QUOTE]
Весь список огласите, пожалуйста.
-
Вложений: 2
Сорри, соррри. :ohmy: Забыла отключить. Новые логи с отключенным антивирусником прилагаю.
Списочек большой...Оглашаю:
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\VCL35.BPL" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in C:\WINDOWS\system.ini\BORLNDMM.DLL" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\CP3240MT.DLL" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\BCBSMP35.BPL" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\VCLX35.BPL" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\COMCTL32.DLL" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\HPortal2.dll" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\LHPorta2.dll" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\HVideoS2.exe" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\HVidSp2.dll" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\PCSmart2.dll" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\InstVid.exe" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\LQCT32_2.dll" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\qctw32_2.ds" file. [/FONT]
[FONT=Times New Roman]Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\msvcp71.dll" file. [/FONT]
-
Молчанье, был ему ответ....
Лю-юди! Все так плохо? Пора винды сносить? :)
-
Сделайте полную проверку AVPTool и сделайте новые логи...
-
Вложений: 3
AVPTool нашел и обезвредил 2 трояна в системных файлах. После этого драйвер AVZ стал загружаться беспрепятственно. Однако Аваст по-прежнему сообщает о 15 зараженных файлах...
-
Признаков активного заражения в логах не видно.
Список странный весьма. [B]system.ini [/B]и [B]twain_32.dll[/B] - это что, папки такие?
-
System.ini обнаружила в виндовой папке под названием "pss". В ней всего 3 файла -boot.ini.buckup, system.ini.buckup, win.ini.buckup, и все весят 1 байт...(Может грохнуть ее не глядя?! :))
Twain_32 - это папка, внутри которой папки с "деталями" от принтера, вебкамеры и пр.
Ничего более путного сказать вам больше не могу.:)... Чайник я. :)
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 1 минуту[/I][/B][/color][/size]
О, сорри. Нашла Twain_32.dll Это, ес-но, не папка, а виндовский файл...
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00889 seconds with 10 queries