Rootkit.HiddenValue@0 и Rootkit.HiddenKey@0 Вирусы?
После успешного лечения системы от выруса вымогателя диском WindowsUnlocker от касперского,
мой Comodo Internet Security при каждом сканировании находит около 2900 записей в реестре (путь HKEY_CURRENT_USER\Software\Classes\CLSID\) признаных как Rootkit.HiddenValue@0 и Rootkit.HiddenKey@0 но не может их удалить/исправить.
Пробовал сканировать утилитами AVPTool и Dr.Web CureIt! но они етих руткитов не видят.
Переустановил Java ети записи пропали до перезагрузки.
Прошу помощи потому как кажется что вирус вымогатель оставил какуюто гадость в системе. До попадания вируса Comodo етого не находил.
Логи прикрепляю.
Зарание спасибо.
Последний раз редактировалось Romik_lv; 13.09.2011 в 04:45.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip, а также лог полного сканирования МВАМ
теперь Comodo ничего такого не находит. Так и не понятно че ето было.
Помоему ето сидело в архивах восстановления системы и после отключения просто удалилось.
Но такие ключи реестра и остались.
Спасибо за помощь, скорее всего все вылечилось.
Уважаемый(ая) Romik_lv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: