Решена Подозрение на маскировку XPAVAO

[tzrb]

Добрый день! Подозрение на маскировку ключа реестра службы драйвера XPAVAO, что это за зверь?

 

[tzrb]

На пк стоял windows xp2, накатил обновления, установил касперского, нашел удалил kido. Может еще что осталось?

 

[akok]

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
   • Sections
   • IAT/EAT
   • Show all
6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​
9. Подробную инструкцию читайте в руководстве

Обновления который вышли после SP 3 установлены?

 

[tzrb]

Обновления который вышли после SP 3 установлены (UpdatePackLive-14.8.20.exe)

 

[tzrb]

С первого раза лог не удалось создать. После продолжительного сканирования вышла ошибка "Исключение неизвестное программное исключение".

 

[akok]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится btxx8l25.exe случайное имя утилиты (gmer)

btxx8l25.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xpavao"
btxx8l25.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xpavao"
btxx8l25.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xpavao"
btxx8l25.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

 

[tzrb]

Новый лог

 

[akok]

В логе чисто. Давай перепроверим лог автологера свежий для уверенности.

 

[tzrb]

Свежий лог.

 

[akok]

Не вижу к чему придраться. Проблемы устранены?

 

[tzrb]

Спасибо, все хорошо.

 

[akok]

Подготовьте лог лог SecurityCheck by glax24и исправьте все найденные утилитой проблемы.

Выполните: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.

 

[tzrb]

Проделал все рекомендации. При отправке на странице неверная кодировка
Îøèáêà: Ôàéë íå ÿâëÿåòñÿ êàðàíòèíîì AVZ !
Âîçìîæíûå ïðè÷èíû:

• ôàéë íå ÿâëÿåòñÿ êàðàíòèíîì, ñîçäàííûì óòèëèòîé AVZ;
• ôàéë ïðåâûøàåò ïî îáúåìó 100 ìá;
• â õîäå ïåðåäà÷è ôàéëà âîçíèêëè ñáîè