acluih.exe — заблокированы антивирусные утилиты и обновление Dr.Web
24.05 SpyWare Terminator предупредил о попытке изменения пункта автозагрузки:
«Изменён: Generic Host Process for Win32 Services
Пункт автозагрузки: acluih.exe»
Я поискал acluih.exe в интернете. На русских сайтах ничего не нашёл, в том числе в вирусной базе Dr.Web и в Вирусной энциклопедии на «ВирусЛист». А на одном западном сайте нашёл статью про ADSLDPJ.EXE. В статье было написано, что он может использовать и другие имена файлов, среди которых ACLUIH.EXE.
Вот ссылка http://www.prevx.com/filenames/X1604...SLDPJ.EXE.html
Запретить попытку изменения пункта автозагрузки не получилось. Нажимаю на кнопку «Запретить», через некоторое время предупреждение появляется вновь.
Найти acluih.exe удалось не сразу. SpyWare Terminator выдаёт следующую информацию: acluih.exe. Тип файла: приложение. Размер: 48,5 КБ (49 664 байт). Размещенме: C:\WINDOWS\system32. Команда: C:\WINDOWS\system32\acluih.exe.
Но через «Проводник Windows» или «Поиск» находится только acluih - Ярлык к программе MS-DOS. Если открыть папку C:\WINDOWS\system32, то там опять же только ярлык. Если нажать на кнопку «Обзор» и кликнуть по ярлыку acluih, то имя файла указывается как acluih.PIF, кстати, этот файл я проверил онлайн-сканерами, Dr.Web и ещё двумя. Вирусов не нашли все три.
Я знаю, что по правилам раздела необходимо исследовать систему с помощью AVZ и HiJackThis. Дело в том, что AVZ у меня стоит уже давно, но сегодня он, как выяснилось, работать перестал, файл справки открывается, сама утилита просто не реагирует. HiJackThis сегодня дважды скачивал с сайта Dr.Web, но запустить не удалось. Сегодня же обнаружил, что антивирус Dr.Web больше не обновляется. Вручную, через трей, включить обновление тоже не получается. Антивирус просто не отзывается, а вот сканер работает, вирус он не нашёл.
Скачал Rootkit Unhooker, с его помощью удалось найти acluih.exe и скопировать, чтобы переслать файл в службу техподдержки Dr.Web. Оттуда запросили также эти файлы:
C:\WINDOWS\system32\Drivers\uzexmtm2.sys
C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys
C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys
C:\WINDOWS\system32\DRIVERS\lirsgt.sys
Кстати, вскоре после окончания сканирования системы Rootkit Unhooker, комп без предупреждений перезагрузился, причину не знаю. Правда отчёт я успел сохранить.
Может стоит попробовать удалить acluih.exe с помощью Rootkit Unhooker, там же вроде есть такая функция? Или надо скачать программу с сайта prevx.com?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Проверил комп CureIt! в безопасном режиме. Были обнаружены и удалены сразу 2 Trojan.Inject.5512 по адресам C:\Windows\system32\digiwet.dll и C:\Documents and Settings\User\Local Settings\Temp\pdfupd.exe. По адресу C:\WINDOWS\system32\acluih.exe был найден и удалён BackDoor.IRC.Nite.18. Антивирусные утилиты и обновление Dr.Web по прежнему были заблокированы.
Впрочем позже HiJackThis и AVZ удалось запустить переименовав.
С помощью HiJackThis были удалены строки:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
В это время SpyWare Terminator вновь предупредил о попытке изменения пункта автозагрузки, но уже файлом acluihq.exe. При повторном применении CureIt! вновь обнаружен и удалён Trojan.Inject.5512 по адресу C:\Windows\system32\digiwet.dll. Сам acluihq.exe был инфицирован BackDoor.IRC.Bot.114 (также удалён).
Уже позже обнаружил следующие записи:
O23 - Service: Фоновая интеллектуальная служба передачи (BITS) (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing)
O23 - Service: Автоматическое обновление (wuauserv) - Unknown owner - %fystemroot%\system32\svchost.exe (file missing)
Запустить regedit и исправить записи удалось только после его переименования.
Проблемы: Dr.Web обновляется только вручную, AVZ, HiJackThis и regedit, возможно и некоторые другие программы, запускаются только если их переименовать. После второго появления вируса пошли проблемы с обновлением ОС: на сайте MS пишут, что произошла ошибка, поэтому определить какие мне надо ставить обновления нельзя.
Как можно исправить эти проблемы и не появится ли вирус в третий раз?
Прикладываю логи.
Спасибо, но уже исправил. Сразу как запустился regedit.
У меня другие вопросы есть. Правда может они не для этой темы.
1. Дело в том, что во время второй проверки CureIt обнаружил и удалил BackDoor.IRC.Bot.114 в копии файла acluihq.exe, которую я сделал для того чтобы отослать на проверку. В оригинальном файле вирус обнаружен не был. Позже его проверили в Dr.Web, новый acluihq.exe оказался безвредным - полностью заполнен нулями. Число MD5 инфицированного acluihq.exe - 51e4a807c10fae72974a09e06029a0a7, а нового, безвредного - 37f4d73e918ef6795e52f618e4370b4f. Получается, что BackDoor самоуничтожился?
2. acluihq.exe успел прописаться в регистре:
HKLM\SOFTWARE\Microsoft\Ole\Win32Update C:\WINDOWS\system32\acluihq.exe
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Win32Upd ate C:\WINDOWS\system32\acluihq.exe
HKCU\Software\Microsoft\OLE\Win32Update C:\WINDOWS\system32\acluihq.exe
HKCU\SYSTEM\CurrentControlSet\Control\Lsa\Win32Upd ate C:\WINDOWS\system32\acluihq.exe
Он также прописался ещё и здесь:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ComDlg32\OpenSaveMRU\*\d C:\WINDOWS\system32\acluihq.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ComDlg32\OpenSaveMRU\exe\a C:\WINDOWS\system32\acluihq.exe
Но я покопался в инете и эти записи просто удалил. А вот что такое Ole\Win32Update и Lsa\Win32Update, я найти не сумел. И что теперь делать? Просто удалить? Или он подставил себя вместо других файлов?
Если эти вопросы не по теме, прошу прощения. А так проблема решена. Ещё раз спасибо.
Если бы это было так, у вас были бы проблемы в работе системы или как минимум сообщения об ошибках, потому что файла этого уже нет. Раз все нормально работает, значит эти ссылки никому не нужны и можно их удалить.
I am not young enough to know everything...
Уважаемый(ая) АланРадуга, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: