Запускается постоянно.
Имитирует собой Центр Обеспечения безопасности Микрософт.
Вот логи.
Запускается постоянно.
Имитирует собой Центр Обеспечения безопасности Микрософт.
Вот логи.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); DeleteFile('c:\windows\system32\wuaucldt.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman'); BC_ImportAll; ExecuteSysClean; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- обновите базы AVZ
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
не помогло
Обновите базы AVZ
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\program files\common files\securit\zservice14.exe',''); QuarantineFile('c:\documents and settings\spartak\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys',''); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('c:\documents and settings\spartak\wuaucldt.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Отправляемс...
вроде видимых признаков нет
+ к DefesT
замените файл C:\WINDOWS\system32\Drivers\cdrom.sys на чистый из дистрибутива.
как заменить можно посмотретьтут
Заменил. Всем спасибо.
лог virusinfo_syscheck.zip сделайте, проверим все или не все почистилось
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\cdrom.sys - Trojan.Win32.Inject.aoad ( DrWEB: Win32.Lutin.2, BitDefender: Gen:Rootkit.Heur.fuW@DmM8E3h, AVAST4: Win32:Cutwail-AG [Trj] )
- c:\windows\system32\wuaucldt.exe - Trojan-Dropper.Win32.Agent.btqr ( DrWEB: Trojan.DownLoad1.34432, BitDefender: Trojan.Agent.AOXS, NOD32: Win32/Wigon.NM trojan, AVAST4: Win32:Malware-gen )
Уважаемый(ая) visahouse, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.