Вроде бы руткит

[prohil]

Здравствуйте! Аваст определяет, что в моей системе обнаружен подозрительный скрытый объект (руткит) и рекомендует немедленно удалить этот объект. Несколько раз уже запускал проверку системы - без результата. Скрипты прилагаю:

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe
O4 - S-1-5-18 Startup: PowerReg Scheduler.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: PowerReg Scheduler.exe (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe

Выполните скрипт в AVZ:

Код:

procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
AddToLog('=== '+AServiceName+' ===');
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SetAVZGuardStatus(True);
WhatService('fjryg');
BC_ImportAll;
BC_Activate;
SaveLog(GetAVZDirectory+'fjryg.log');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=102016).
Прикрепите сюда файл fjryg.log из папки с AVZ.

[prohil]

Всё сделал, карантин отправил, файл вложил

[polword]

- Выполните скрипт в AVZ

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
 var
  i : integer; 
  KeyList : TStringList;
  KeyName : string;                           
 begin
  RegKeyResetSecurity(ARoot, AName);
  KeyList := TStringList.Create;
  RegKeyEnumKey(ARoot, AName, KeyList);
  for i := 0 to KeyList.Count-1 do
   begin
    KeyName := AName+'\'+KeyList[i];
    RegKeyResetSecurity(ARoot, KeyName);
    RegKeyResetSecurityEx(ARoot, KeyName);
   end;
  KeyList.Free;
 end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
 var
  i : integer;
  KeyList : TStringList;
  KeyName : string;                           
 begin
  Result := 0;
  if StopService(AServiceName) then Result := Result or 1;
  if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
  KeyList := TStringList.Create;
  RegKeyEnumKey('HKLM','SYSTEM', KeyList);
  for i := 0 to KeyList.Count-1 do
   if pos('controlset', LowerCase(KeyList[i])) > 0 then
    begin
     KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
     if RegKeyExistsEx('HKLM', KeyName) then
      begin
       Result := Result or 4;                  
       RegKeyResetSecurityEx('HKLM', KeyName);
       RegKeyDel('HKLM', KeyName);
       if RegKeyExistsEx('HKLM', KeyName) then               
       Result := Result or 8;                  
      end;
    end;                 
  if AIsSvcHosted then
    BC_DeleteSvcReg(AServiceName)
   else
    BC_DeleteSvc(AServiceName);
  KeyList.Free;
 end;
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 BC_ServiceKill('fjryg');
 DeleteFile('C:\WINDOWS\system32\opkggwpv.dll');
 BC_ImportAll;
 ExecuteSysClean;
  BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[prohil]

сделал

[Bratez]

Сделайте в AVZ:
Файл - Восстановление системы - п.8 - Выполнить.

Больше ничего плохого не видно.

Рекомендуется установить SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).

[prohil]

нее всё равно всплывает табличка((( А может быть так, что там никакого руткита нет, и это просто какой то объект??

Добавлено через 4 минуты

и ещё под повторной активацией Windows подразумевается переустановка системы??

[Bratez]

всё равно всплывает табличка

Процитируйте полностью или сделайте скриншот.

Сделайте лог gmer.

под повторной активацией Windows подразумевается переустановка системы??

Нет, конечно!

[prohil]

ссылка на gmer была какая то кривая, так что скачал из другого места

Добавлено через 8 минут

ээм скрин не вставляется

[prohil]

лог

[prohil]

вроде бы обнаружил руткит

Добавлено через 6 минут

Цитата: В вашей систему обнаружен подозрительный скрытый объект(руткит). Это может быть признаком заражения. Рекомендуется немедленно удалить объект.
ИНФОРМАЦИЯ О РУТКИТЕ:
Имя файла (какая то стрелочка вниз)

C:\WINDOWS\system32\sptd.sys F

Добавлено через 2 минуты

между имя файла и стрелочкой большой пробел и между С:...... и F тоже пробел

[thyrex]

Лог TDSSkiller сделайте

[prohil]

УРААААА!!!! Руткит удалился. Установил эту программу (TDSSkiller), просканировал, он мне обнаружил пару угроз ( в том числе этот файл C:\WINDOWS\system32\sptd.sys), и при перезагрузке удалил вроде всё. СПАСИБО!
Лог я думаю уже не надо присылать??)))

[thyrex]

Пришлите лог. Интересно взглянуть

[prohil]

который в папке с программой или который после проверки на руткиты можно посмотреть??

[thyrex]

На диске C ищите лог TDSSkiller

[polword]

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt

[prohil]

Не знаю какакой именно нужно так что выкладываю все

[thyrex]

sptd.sys это вряд ли был зловред. Файл от эмулятора дисков

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены