rootkit

При тесте ОС GMER выдал путь на руткит c:\Windows\system32\drivers\ovfsthdjqvsliymihjpmufynxxhxcwwuxyhvxc.sys
Наути этот файл невозможно для его теста. Как вытащить этот файл и что это.

Скачайте [url]http://malwarebytes.org/mbam.php[/url] , обновите базы, сделайте лог, ничего, файл - в карантин, потом удалите только его, перегрузитесь, повторите лог, его - в студию.

[quote=Rene-gad;383271]Скачайте [URL]http://malwarebytes.org/mbam.php[/URL] , обновите базы, сделайте лог, ничего, файл - в карантин, потом удалите только его, перегрузитесь, повторите лог, его - в студию.[/quote]
Программа нашла трояна. Но в карантин не хочет перемещать файлы. Может я что-то не правильно делаю. Как его закинуть в карантин???

Лог проверки приложите...

[quote=Гриша;383314]Лог проверки приложите...[/quote]
вы имели ввиду это

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('34da77b4');
QuarantineFile('C:\WINDOWS\System32\drivers\34da77b4.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\34da77b4.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('34da77b4');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи+ сделайте лог gmer...

[quote=Гриша;383344][URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[color=red]Moderated: убран оверквотинг[/color]
Пришлите карантин по правилам и повторите логи+ сделайте лог gmer...[/quote]
Карантин выслал, логи прилогаю

А где логи AVZ?

[COLOR="Red"]Moderated: убран оверквотинг[/COLOR]
Я думал, что только карантин нужен

А теперь по правилам, пожалуйста.

[COLOR="Red"]Moderated: убран оверквотинг[/COLOR]
Не совсем понял, относительно по правилам. Что необходимо сделать?

[QUOTE]Не совсем понял, относительно по правилам. Что необходимо сделать? [/QUOTE]
Пункты 1, 2, 3 диагностики, как написано в правилах.

Все понял, извеняюсь за ранее изложенные посты.

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:

[CODE]C:\WINDOWS\system32\drivers\ovfsthdjqvsliymihjpmufynxxhxcwwuxyhvxc.sys[/CODE]

правая кнопка мыши Copy To, сохраните файл под любым именем, затем Force Delete на запрос ответьте положительно.

Затем читайте [url]http://virusinfo.info/showthread.php?t=39413[/url]

Параметр для поиска:

[CODE]ovfsthemotfmjqpavpbrpiqqhweedxmttkkdpx[/CODE]

Перезагрузитесь, пришлите скопированный файл в архиве с паролем "virus" по красной ссылке, повторите лог gmer...

Ситуация следующая, у Меня в реестре была ссылка на запуск файла ovfsthdjqvsliymihjpmufynxxhxcwwuxyhvxc.sys, но самого файла судя по всему нет. Т.к. я его искал взевозможными способами не видели его и в LiveCD.
С помощью IceSword я нашел и удалил следующие ветки в реестре:
HKLM\System\CurrentControlSet\Services\ovfsthemotfmjqpavpbrpiqqhweedxmttkkdpx
HKLM\SYSTEM\ControlSet002\Services\ovfsthemotfmjqpavpbrpiqqhweedxmttkkdpx
Сделал лог Gmer теперь все чисто.
Всем большое спасибо за помощь.

Все нормально...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]