Решена Подозрение на маскировку XPAVAO

Тема в разделе "Лечение компьютерных вирусов", создана пользователем tzrb, 29 авг 2014.

Метки:
Статус темы:
Закрыта.
  1. tzrb
    Оффлайн

    tzrb Пользователь

    Сообщения:
    127
    Симпатии:
    55
    Добрый день! Подозрение на маскировку ключа реестра службы драйвера XPAVAO, что это за зверь?
     

    Вложения:

  2. tzrb
    Оффлайн

    tzrb Пользователь

    Сообщения:
    127
    Симпатии:
    55
    На пк стоял windows xp2, накатил обновления, установил касперского, нашел удалил kido. Может еще что осталось?
     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    1. Загрузите GMER по одной из указанных ссылок:
      Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    2. Временно отключите драйверы эмуляторов дисков.
    3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
    4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
      • Sections
      • IAT/EAT
      • Show all
    6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    9. Подробную инструкцию читайте в руководстве
    --- Объединённое сообщение, 29 авг 2014 ---
    Обновления который вышли после SP 3 установлены?
     
    tzrb и shestale нравится это.
  4. tzrb
    Оффлайн

    tzrb Пользователь

    Сообщения:
    127
    Симпатии:
    55
    Обновления который вышли после SP 3 установлены (UpdatePackLive-14.8.20.exe)
     
  5. tzrb
    Оффлайн

    tzrb Пользователь

    Сообщения:
    127
    Симпатии:
    55
    С первого раза лог не удалось создать. После продолжительного сканирования вышла ошибка "Исключение неизвестное программное исключение".
     

    Вложения:

    • scan.log
      Размер файла:
      23,4 КБ
      Просмотров:
      6
    Последнее редактирование: 1 сен 2014
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится btxx8l25.exe случайное имя утилиты (gmer)
    Код (Text):

    btxx8l25.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xpavao"
    btxx8l25.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xpavao"
    btxx8l25.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xpavao"
    btxx8l25.exe -reboot
     
    И запустите сохранённый пакетный файл cleanup.bat.
    Внимание: Компьютер перезагрузится!
    Сделайте новый лог gmer.
     
  7. tzrb
    Оффлайн

    tzrb Пользователь

    Сообщения:
    127
    Симпатии:
    55
    Новый лог
     

    Вложения:

    • scan2.log
      Размер файла:
      18,9 КБ
      Просмотров:
      2
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    В логе чисто. Давай перепроверим лог автологера свежий для уверенности.
     
  9. tzrb
    Оффлайн

    tzrb Пользователь

    Сообщения:
    127
    Симпатии:
    55
    Свежий лог.
     

    Вложения:

  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Не вижу к чему придраться. Проблемы устранены?
     
  11. tzrb
    Оффлайн

    tzrb Пользователь

    Сообщения:
    127
    Симпатии:
    55
    Спасибо, все хорошо.
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Подготовьте лог лог SecurityCheck by glax24и исправьте все найденные утилитой проблемы.

    Выполните: Рекомендации после лечения


    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
     
  13. tzrb
    Оффлайн

    tzrb Пользователь

    Сообщения:
    127
    Симпатии:
    55
    Проделал все рекомендации. При отправке на странице неверная кодировка
    Îøèáêà: Ôàéë íå ÿâëÿåòñÿ êàðàíòèíîì AVZ !
    Âîçìîæíûå ïðè÷èíû:
    • ôàéë íå ÿâëÿåòñÿ êàðàíòèíîì, ñîçäàííûì óòèëèòîé AVZ;
    • ôàéë ïðåâûøàåò ïî îáúåìó 100 ìá;
    • â õîäå ïåðåäà÷è ôàéëà âîçíèêëè ñáîè
     
    akok нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей