Не могу вылечить wupdate.exe

**AnatoliyE** · 17.11.2008, 16:12

Помогите удалить вирус в системе. Пробовал NOD32 и Cureit - не помогает

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AnatoliyE** · 17.11.2008, 16:16

Вложения. Простите. Не сразу разобрался

**AndreyKa** · 17.11.2008, 16:52

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\wupdate.exe','');
 QuarantineFile('c:\program files\punto switcher\punto.exe','');
 DeleteFile('C:\WINDOWS\system32\wupdate.exe');
SysCleanAddFile('nvdesk32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин так, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Советую установить Service Pack 3 на Windows (может потребоваться активация).

**AnatoliyE** · 17.11.2008, 17:39

Сообщение от AndreyKa

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\wupdate.exe','');
 QuarantineFile('c:\program files\punto switcher\punto.exe','');
 DeleteFile('C:\WINDOWS\system32\wupdate.exe');
SysCleanAddFile('nvdesk32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин так, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Советую установить Service Pack 3 на Windows (может потребоваться активация).

Пожалуйста

**AndreyKa** · 17.11.2008, 18:26

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
SetAVZPMStatus(True);
SysCleanAddFile('wupdate.exe');
 DeleteService('ati7otxx');
 DeleteService('tcpsr');
 BC_DeleteSvc('ati7otxx');
 BC_DeleteSvc('tcpsr');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati7otxx.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati7otxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин так, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

**AnatoliyE** · 17.11.2008, 19:08

Сообщение от AndreyKa

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
SetAVZPMStatus(True);
SysCleanAddFile('wupdate.exe');
 DeleteService('ati7otxx');
 DeleteService('tcpsr');
 BC_DeleteSvc('ati7otxx');
 BC_DeleteSvc('tcpsr');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati7otxx.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati7otxx.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин так, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Новый лог

**Гриша** · 17.11.2008, 19:15

Скачать,меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\system32\Drivers\ati7otxx.sys

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ati7otxx');
 DeleteFile('C:\WINDOWS\system32\Drivers\ati7otxx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati7otxx');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

**AnatoliyE** · 17.11.2008, 20:00

Логи

**V_Bond** · 17.11.2008, 20:27

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('tcpsr');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи

**AnatoliyE** · 17.11.2008, 20:53

Вот лог virusinfo_syscheck

**V_Bond** · 17.11.2008, 20:59

ничего плохого ...

**AnatoliyE** · 17.11.2008, 21:07

Вирусов нет?

**Гриша** · 17.11.2008, 21:11

Нет...

**AnatoliyE** · 17.11.2008, 21:41

Спасибо огромное! Скажите, а связки NOD32 и Outpost Security Suite достаточно для нормальной работы?

**Гриша** · 17.11.2008, 21:42

Достаточно...

**CyberHelper** · 22.02.2009, 08:48

Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 16
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\wupdate.exe - Backdoor.Win32.IRCBot.gop (DrWEB: Win32.HLLW.MyBot)

Не могу вылечить wupdate.exe (заявка № 34004)

Опции темы