-
Junior Member
- Вес репутации
- 52
Постоянная маскировка процессов и увеличение трафика.
Добрый вечер.
Проблема с буком, началось с того, что при попытке выключения очень долго реагирует, минут 5 экран с надписью «Завершение работы». Затем увеличился размер трафика, вместо обычных суточных 200Мб стало «пропадать» - 800Мб. При проверке AVZ «обнаруживается» постоянная маскировка процессов (постоянно разное количество). Страницы Интернета грузятся неимоверно долго. Все "тупит" и "тормозит". Часто появляется надпись "Система была восстановлена после серьезной ошибки". При попытке восстановить систему по контрольной точке восстановления последовала неудача, сейчас не вспомню какую именно ошибку "выдало".
Помогите, пожалуйста.
Заранее благодарна.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Для начала убрать остатки Симантека утилитой с его сайта.
Выполнить скрипт:
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Windows\system32\drivers\Wpdvextifpmm.sys','');
QuarantineFile('C:\Windows\system32\drivers\blbdrive.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин на проверку.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Здравствуйте, PavelA.
Вчера забыла написать, что ни Касперский ни Доктор Веб никаких проблем не обнаруживают. При полной проверке AVZ находилось несколько троянов и MailBomb, было написано, что ни удалить, ни вылечить не удалось.
Остатки Симантека удалила.
Выполняла скрипт, появляется надпись "ошибка записи карантина", затем, что скрипт выполнен без ошибок. Архив прислала.
Сегодня при выполнении стандартного скрипта "получилось" вот такое -
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=1704, имя = "\Device\HarddiskVolume2\Windows\System32\wbem\WMI ADAP.exe"
>> обнаружена подмена имени, новое имя = "\\?\c:\windows\system32\wbem\wmiadap.exe"
>> Маскировка драйвера: Base=9000A000, размер=73728, имя = "\SystemRoot\system32\DRIVERS\USBSTOR.SYS"
Последний раз редактировалось Marina_I; 17.03.2010 в 23:41.
-
Файлы не достались в карантин, будем их убивать.
выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('blbdrive');
BC_DeleteSvc('Wpdvextifpmm');
DeleteFile('C:\Windows\system32\drivers\Wpdvextifpmm.sys');
DeleteFile('C:\Windows\system32\drivers\blbdrive.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи повторить
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
-
Не видно ничего подозрительного.
Установите Service Pack 1 и 2 на Windows.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-