DAVIDOV Публикувано Септември 19, 2013 Report Share Публикувано Септември 19, 2013 Здравейте, днес се появи следния проблем с лаптоп ОС: Windows VistaBusnes SP1. При пускане на компютъра Avast free засече зловреден код като руткит win32:evo-gen, който не може да изтрие. При сканиране в Boot режим не открива нищо, сканирах с GMER, той го открива като скрит процес прилагам и лога. gmer.txt Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Септември 21, 2013 Report Share Публикувано Септември 21, 2013 Моля изтеглете последната версия на TDSSKiller оттук и я запазете на вашия декстоп.Стартирайте TDSSKiller.exe за да стартирате приложението. След това кликнете върху бутона Change parameters.http://img189.imageshack.us/img189/5251/image000q.pngСложете отметка през Loaded Modules.http://i.imgur.com/Sbf88.pngНеобходим е рестарт за осъществяване на промените. Направете го!TDSSKiller ще стартира автоматично след рестарта. Важно е да се отбележи, че вашия компютър може да изглежда по-бавен, на моменти неизползваем и с по-ниска производителност. Това е нормално и ще трае само един рестарт. Дайте му достатъчно време да зареди приложенията стартиращи с Операционната Система във фонов режим.След това натиснете Change parameters в TDSSKiller отново.Сложете всички отметки (този път рестарт не се изисква).http://img11.imageshack.us/img11/3816/2012081517h0349.pngНатиснете бутона Start Scan.http://img202.imageshack.us/img202/1699/19695967.jpgПроверката не би трябвало да отмене повече от 2 minutes.Ако подозрителен обект бъде засечен, действието по подразбиране ще бъде Skip, кликнете върху Continue.http://img716.imageshack.us/img716/7638/67776163.jpgАко зловредни обекти бъдат намерени, тогава от падащото меню ще имате три възможности.Бъдете сигурни, че избраното действие е Cure и натиснете върху Continue > Рестартирайте за да бъде завършена поправката.http://img717.imageshack.us/img717/718/62117367.jpgЗабележка: Ако Cure бутона не е наличен от възможностите, тогава моля изберете Skip бутона, не избирайте Delete освен ако не сте инструктирани затова.Лог файл ще бъде създаден в свободната директория на дял C:\ . Потърсете за лог с името "TDSSKiller.[Version]_[Date]_[Time]_log.txt" и копирайте съдържанието му в следващия си пост. Цитирай Link to comment Сподели другаде More sharing options...
DAVIDOV Публикувано Септември 22, 2013 Author Report Share Публикувано Септември 22, 2013 Сканирах по описания начин качвам логовете.TDSSKiller.2.9.2.0_22.09.2013_11.55.18_log.txtTDSSKiller.2.9.2.0_22.09.2013_11.49.38_log.txt Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Септември 22, 2013 Report Share Публикувано Септември 22, 2013 Интересно, в лога на GMER освен "скрития процес" не ми хареса и MBR, но той може да е моднат ако се използва Recovery Partition, а TDSSKiller не засече нищо.Може ли да публикувате лог снимка на засечения от avast! обект? Моля изтеглете MBRScan и го запазете на десктопа.Стартирайте файла MBRScan.exe и натиснете Scan.По време на сканирането не използвайте компютъра си.След това натиснете Report Ще се появи текстов файл с името MBRScan.log.Запазете този лог файл (File => Save as) на десктопа и го публикувайте в следващия си коментар.Все още не затваряйте програмата. Натиснете бутона dump и от списъка изберете \Device\Harddisk0\DR0 => и натиснете Dump Selected MBRВ папката от която стартирахте инструмента ще се създадат файлове с разширение *.mbr. Архивирайте ги в zip формат и ги прикачете към следващия си коментар. Цитирай Link to comment Сподели другаде More sharing options...
DAVIDOV Публикувано Септември 22, 2013 Author Report Share Публикувано Септември 22, 2013 По принцип лаптопа си има скрит дял за възстановяване на ОС. Ето логовете и снимката от авастMRBScan.rar Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Септември 22, 2013 Report Share Публикувано Септември 22, 2013 Намирисва на фалшива тревога за avast! Намира услугата за някаква програма на Lenovo за backup - явно свързана с Recovery Partition-a(TDSSKiller ги намери и той, но според него просто са неподписани) 11:57:37.0946 0x04ec TVT Backup Protection Service ( UnsignedFile.Multi.Generic ) - skipped by user11:57:37.0946 0x04ec TVT Backup Protection Service ( UnsignedFile.Multi.Generic ) - User select action: Skip11:57:37.0946 0x04ec TVT Backup Service ( UnsignedFile.Multi.Generic ) - skipped by user11:57:37.0946 0x04ec TVT Backup Service ( UnsignedFile.Multi.Generic ) - User select action: Skip11:57:37.0946 0x04ec TVT Scheduler ( UnsignedFile.Multi.Generic ) - skipped by user11:57:37.0946 0x04ec TVT Scheduler ( UnsignedFile.Multi.Generic ) - User select action: Skip11:57:37.0946 0x04ec tvtfilter ( UnsignedFile.Multi.Generic ) - skipped by user11:57:37.0946 0x04ec tvtfilter ( UnsignedFile.Multi.Generic ) - User select action: Skip11:57:37.0961 0x04ec TVT_UpdateMonitor ( UnsignedFile.Multi.Generic ) - skipped by user11:57:37.0961 0x04ec TVT_UpdateMonitor ( UnsignedFile.Multi.Generic ) - User select action: Skip http://forums.lenovo.com/t5/ThinkVantage-Technologies/TVT-backup-amp-TVT-protected-services/td-p/166452 Според мен премахване не е необходимо... Цитирай Link to comment Сподели другаде More sharing options...
DAVIDOV Публикувано Септември 22, 2013 Author Report Share Публикувано Септември 22, 2013 Добре, благодаря за помощта. Все пак ще го следя периодично Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Септември 22, 2013 Report Share Публикувано Септември 22, 2013 Ок, просто сложете програмата в изключенията или я докладвайте на avast! през интерфейса и. И да не забравяме, че Evo-Gen не е дефиниция, а евристиката на avast! (най-вероятно я определеля за подозрителна заради характеристиките на самата услуга на Lenovo). Поздрави! Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.