-
Junior Member
- Вес репутации
- 52
Win32/Protector.H
Добрый день,
описание проблемы:
Nod32 стал выдавать следующие сообщения:
Угроза при попытке доступа к файлу system32/drivers/cdrom.sys (или system32/dllcache/cdrom.sys) приложением svchost.exe (варианты: winlogon.exe, Explorer.exe).
В безопасном режиме проверил AVPTool, было найдено несколько вирусов.
Затем применил avz и hijack, результаты прилагаю.
После этого через некоторое время вышеприведенные симптомы стали проявляться вновь, добавился Wigon.NN в вызове wuauclt.exe, интернетом не в безопасном режиме стало пользоваться практически невозможно (вирусы канал забили ???).
Проконсультируйте, если возможно.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\ssa\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
DeleteFile('c:\documents and settings\ssa\wuaucldt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
C:\WINDOWS\system32\DRIVERS\cdrom.sys и C:\WINDOWS\system32\dllcache\cdrom.sys замените чистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
инструкции выполнены
Скрипт запустил,
карантин сохранил в архив,
cdrom.sys скопировал,
avz & hijack перезапустил,
логи прилагаю.
Карантин попытался отправить (он 31 Мб).
Получил страницу с надписью "Результат загрузки" (и больше ничего).
Не понял, отправлен ли карантин.
Сижу на всякий случай в безопасном режиме.
-
Карантин получен
virusinfo_syscure.zip выложили старый.
Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
текущее состояние
syscure старый я так понимаю потому, что повторно я запускал avz без лечения (нужно было с лечением ?).
Зашел в обычном режиме, пока ничего не вижу (в смысле новых сообщений от Nod). Интернет стал работать лучше, но медленнее, чем обычно (может быть, с проблемой это и не связано).
Оставлю висеть на ночь, отпишусь завтра.
Спасибо.
-
Junior Member
- Вес репутации
- 52
За ночь NOD ничего не обнаружил, судя по всему, зло прибито.
Большое спасибо !
Однако есть вопрос относительно скорости работы браузера - она уменьшилась значительно.
Firewall стандартный включен, speedtest меряет обычную download-скорость (около 7000 Кбит).
После того, как послал предыдущее сообщение, последовал практически всем советам из 10 заповедей.
Может ли какая то из них может влиять на скорость браузера?
Посоветуйте что-нибудь, если возможно.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения вредоносные программы в карантинах не обнаружены
-