Здравствуйте! Аваст определяет, что в моей системе обнаружен подозрительный скрытый объект (руткит) и рекомендует немедленно удалить этот объект. Несколько раз уже запускал проверку системы - без результата. Скрипты прилагаю:
Здравствуйте! Аваст определяет, что в моей системе обнаружен подозрительный скрытый объект (руткит) и рекомендует немедленно удалить этот объект. Несколько раз уже запускал проверку системы - без результата. Скрипты прилагаю:
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe O4 - S-1-5-18 Startup: PowerReg Scheduler.exe (User 'SYSTEM') O4 - .DEFAULT Startup: PowerReg Scheduler.exe (User 'Default user') O4 - Startup: PowerReg Scheduler.exe
Компьютер перезагрузится.Код:procedure WhatService(AServiceName : string); var dllname, servicekey : string; begin AddToLog('=== '+AServiceName+' ==='); servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName; RegKeyResetSecurity( 'HKLM', servicekey); RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters'); AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description')); AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName')); AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath')); dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll'); AddToLog('ServiceDll: '+dllname); QuarantineFile(dllname,''); end; begin SetAVZGuardStatus(True); WhatService('fjryg'); BC_ImportAll; BC_Activate; SaveLog(GetAVZDirectory+'fjryg.log'); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=102016).
Прикрепите сюда файл fjryg.log из папки с AVZ.
I am not young enough to know everything...
Всё сделал, карантин отправил, файл вложил
- Выполните скрипт в AVZ
После перезагрузки:Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_ServiceKill('fjryg'); DeleteFile('C:\WINDOWS\system32\opkggwpv.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
сделал
Сделайте в AVZ:
Файл - Восстановление системы - п.8 - Выполнить.
Больше ничего плохого не видно.
Рекомендуется установить SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).
I am not young enough to know everything...
нее всё равно всплывает табличка((( А может быть так, что там никакого руткита нет, и это просто какой то объект??
Добавлено через 4 минуты
и ещё под повторной активацией Windows подразумевается переустановка системы??
Последний раз редактировалось prohil; 12.05.2011 в 15:20. Причина: Добавлено
Процитируйте полностью или сделайте скриншот.
Сделайте лог gmer.
Нет, конечно!
I am not young enough to know everything...
ссылка на gmer была какая то кривая, так что скачал из другого места
Добавлено через 8 минут
ээм скрин не вставляется
Последний раз редактировалось prohil; 12.05.2011 в 19:31. Причина: Добавлено
лог
вроде бы обнаружил руткит
Добавлено через 6 минут
Цитата: В вашей систему обнаружен подозрительный скрытый объект(руткит). Это может быть признаком заражения. Рекомендуется немедленно удалить объект.
ИНФОРМАЦИЯ О РУТКИТЕ:
Имя файла (какая то стрелочка вниз)
C:\WINDOWS\system32\sptd.sys F
Добавлено через 2 минуты
между имя файла и стрелочкой большой пробел и между С:...... и F тоже пробел
Последний раз редактировалось prohil; 12.05.2011 в 19:43. Причина: Добавлено
Лог TDSSkiller сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
УРААААА!!!! Руткит удалился. Установил эту программу (TDSSkiller), просканировал, он мне обнаружил пару угроз ( в том числе этот файл C:\WINDOWS\system32\sptd.sys), и при перезагрузке удалил вроде всё. СПАСИБО!
Лог я думаю уже не надо присылать??)))
Пришлите лог. Интересно взглянуть
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
который в папке с программой или который после проверки на руткиты можно посмотреть??
На диске C ищите лог TDSSkiller
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
Не знаю какакой именно нужно так что выкладываю все
sptd.sys это вряд ли был зловред. Файл от эмулятора дисков
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) prohil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.