• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрение на маскировку XPAVAO

Статус
В этой теме нельзя размещать новые ответы.

tzrb

Активный пользователь
Сообщения
117
Реакции
59
Баллы
198
Добрый день! Подозрение на маскировку ключа реестра службы драйвера XPAVAO, что это за зверь?
 

Вложения

tzrb

Активный пользователь
Сообщения
117
Реакции
59
Баллы
198
На пк стоял windows xp2, накатил обновления, установил касперского, нашел удалил kido. Может еще что осталось?
 

akok

Команда форума
Администратор
Сообщения
17,608
Реакции
13,434
Баллы
2,203
  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
  6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  9. Подробную инструкцию читайте в руководстве
Обновления который вышли после SP 3 установлены?
 

tzrb

Активный пользователь
Сообщения
117
Реакции
59
Баллы
198
Обновления который вышли после SP 3 установлены (UpdatePackLive-14.8.20.exe)
 

tzrb

Активный пользователь
Сообщения
117
Реакции
59
Баллы
198
С первого раза лог не удалось создать. После продолжительного сканирования вышла ошибка "Исключение неизвестное программное исключение".
 

Вложения

  • 23.4 KB Просмотры: 7
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,608
Реакции
13,434
Баллы
2,203
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится btxx8l25.exe случайное имя утилиты (gmer)
Код:
btxx8l25.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xpavao"
btxx8l25.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xpavao"
btxx8l25.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xpavao"
btxx8l25.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
 

tzrb

Активный пользователь
Сообщения
117
Реакции
59
Баллы
198
Новый лог
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,608
Реакции
13,434
Баллы
2,203
В логе чисто. Давай перепроверим лог автологера свежий для уверенности.
 

akok

Команда форума
Администратор
Сообщения
17,608
Реакции
13,434
Баллы
2,203
Не вижу к чему придраться. Проблемы устранены?
 

tzrb

Активный пользователь
Сообщения
117
Реакции
59
Баллы
198
Спасибо, все хорошо.
 

akok

Команда форума
Администратор
Сообщения
17,608
Реакции
13,434
Баллы
2,203
Подготовьте лог лог SecurityCheck by glax24и исправьте все найденные утилитой проблемы.

Выполните: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
 

tzrb

Активный пользователь
Сообщения
117
Реакции
59
Баллы
198
Проделал все рекомендации. При отправке на странице неверная кодировка
Îøèáêà: Ôàéë íå ÿâëÿåòñÿ êàðàíòèíîì AVZ !
Âîçìîæíûå ïðè÷èíû:
  • ôàéë íå ÿâëÿåòñÿ êàðàíòèíîì, ñîçäàííûì óòèëèòîé AVZ;
  • ôàéë ïðåâûøàåò ïî îáúåìó 100 ìá;
  • â õîäå ïåðåäà÷è ôàéëà âîçíèêëè ñáîè
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу