-
Junior Member
- Вес репутации
- 58
Хитросделаный wuaucldt.exe.
Проблема началась с появления предупреждения системы "Инструкция по адресу "хххххххххх" обратилась к памяти по адресу "ххххххххххх"" и т.д." Предупреждение выскакивало после загрузки ситемы, ~ 20 сек. Повторно не появлялось.
Просмотрел подобные проблемы на этой ветке форума. Фиксил с помощью немного переделаного мною скрипта (см. ниже). Путем проб и ошибок убедился, что все проблемы исчезают при отключении инета. Кактолько включаю модем - все возвращается:
1) Не "находит" странички всех (видимо) антивирусных сайтов в Опере. Здесь не открывает страничку "прочитайте и выполните правила"
2) В файле hosts , была одна запись:
127.0.0.1 jL.chura.pl
#
именно так.
3) Базы AVZ обновить позволяет.
4) Не работала программа Total Audio Converter 3.0.1.48 - выскакивало предупреждение
5) В папке temp висят постоянно x0bpy.exe и куча подобных ~DF4575.tmp
Как сделать virusinfo_syscure.zip не знаю...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
еще нужен лог virusinfo_syscure.zip
Добавлено через 7 минут
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regsvr32.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.37921.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.37890.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.35562.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26250.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19484.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19468.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19453.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19390.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19359.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.18921.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.18140.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.18125.exe','');
QuarantineFile('C:\WINDOWS\TEMP\x0bpy.exe','');
QuarantineFile('C:\WINDOWS\System32\wudfhost.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\Userinit.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\x0bpy.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\x0bpy.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\x0bpy.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','wv490');
DeleteFile('C:\WINDOWS\TEMP\x0bpy.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.18125.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.18140.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.18921.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19359.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19390.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19453.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19468.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19484.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.19500.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26250.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.35562.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.37890.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.37921.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.53906.exe');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)
Последний раз редактировалось polword; 01.06.2010 в 20:53.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Уже было обрадовался...
Фофиксил этим скриптом (первым), однако после второго, когда AVZ поставил чет-там на карантин... все вернулось
Не работает ссылка по передаче этого карантинного файла
Естественно, не могу его прилепить сюда... Что делать?
Вот собрал что могу:
-
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Пришлите файл avz.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
У Вас файловый вирус Virut. Пролечитесь так http://virusinfo.info/showpost.php?p=306441&postcount=2
После лечения - новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
polword
Пришлите файл avz.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
Да не могу страничка не открывается... понятное дело, можно пойти на другой комп, но кто ж меня с вирусняком-то пустит))
Попрошу друга, предварительно выслав на мыло этот файл, переслать этот файл.
У меня еще пингпонг.пиф, может им проверить?
thyrex - спасибо, жаль. что оперативно не смогу посмотреть на ссылку - не нускает меня эта гадость...
Проверю все - отчитаюсь.
Спасибо откликнувшимся.
-
Будем ждать новых логов. Удачного лечения
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
polword
Пришлите файл avz.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
AVZ по ссылке на карантин послал, только пришлось вместо слова "вирусинфо" ставить цифры, наверное альтернативный адрес этого сайта. Поэтому. куда он попал этот файл - не знаю.
-
Файл попал куда надо.
avz.exe - Virus.Win32.Virut.ce; Win32.Virut.56
Сообщение от
Donetsky
можно пойти на другой комп, но кто ж меня с вирусняком-то пустит
Не надо вам идти. Просто, попросите скачать и записать на диск DrWeb LiveCD.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \avz.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:JunkPoly [Cryp] )
-