• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Подозрение на маскировку XPAVAO

Статус
В этой теме нельзя размещать новые ответы.

tzrb

Активный пользователь
Сообщения
117
Симпатии
55
#1
Добрый день! Подозрение на маскировку ключа реестра службы драйвера XPAVAO, что это за зверь?
 

Вложения

tzrb

Активный пользователь
Сообщения
117
Симпатии
55
#2
На пк стоял windows xp2, накатил обновления, установил касперского, нашел удалил kido. Может еще что осталось?
 

akok

Команда форума
Администратор
Сообщения
13,779
Симпатии
11,596
#3
  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
  6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  9. Подробную инструкцию читайте в руководстве
Обновления который вышли после SP 3 установлены?
 

tzrb

Активный пользователь
Сообщения
117
Симпатии
55
#4
Обновления который вышли после SP 3 установлены (UpdatePackLive-14.8.20.exe)
 

tzrb

Активный пользователь
Сообщения
117
Симпатии
55
#5
С первого раза лог не удалось создать. После продолжительного сканирования вышла ошибка "Исключение неизвестное программное исключение".
 

Вложения

  • 23.4 KB Просмотры: 6
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
13,779
Симпатии
11,596
#6
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится btxx8l25.exe случайное имя утилиты (gmer)
Код:
btxx8l25.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xpavao"
btxx8l25.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xpavao"
btxx8l25.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xpavao"
btxx8l25.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
 

tzrb

Активный пользователь
Сообщения
117
Симпатии
55
#7
Новый лог
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,779
Симпатии
11,596
#8
В логе чисто. Давай перепроверим лог автологера свежий для уверенности.
 

akok

Команда форума
Администратор
Сообщения
13,779
Симпатии
11,596
#10
Не вижу к чему придраться. Проблемы устранены?
 

tzrb

Активный пользователь
Сообщения
117
Симпатии
55
#11
Спасибо, все хорошо.
 

akok

Команда форума
Администратор
Сообщения
13,779
Симпатии
11,596
#12
Подготовьте лог лог SecurityCheck by glax24и исправьте все найденные утилитой проблемы.

Выполните: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
 

tzrb

Активный пользователь
Сообщения
117
Симпатии
55
#13
Проделал все рекомендации. При отправке на странице неверная кодировка
Îøèáêà: Ôàéë íå ÿâëÿåòñÿ êàðàíòèíîì AVZ !
Âîçìîæíûå ïðè÷èíû:
  • ôàéë íå ÿâëÿåòñÿ êàðàíòèíîì, ñîçäàííûì óòèëèòîé AVZ;
  • ôàéë ïðåâûøàåò ïî îáúåìó 100 ìá;
  • â õîäå ïåðåäà÷è ôàéëà âîçíèêëè ñáîè
 
Статус
В этой теме нельзя размещать новые ответы.