-
Junior Member
- Вес репутации
- 51
Загрузка ЦП 99%, в автозагрузке файл wwwznv32.exe
Доброго времени суток!
В автозагрузке обнаружил файл wwwznv32.exe, svchost.exe грузит ЦП на 99% . На компе NOD32, обновил базы , просканил вирусов не нашел, скачал drweb, нашел какой то вирь - удалил его, но wwwznv32.exe как вирь не определил. Помогите пожалуйста!
ОС: WinXP SP3
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\epuxoy.exe','');
QuarantineFile('C:\WINDOWS\system32\4ee2278e.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ctsKk7In.sys','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ctsKk7In.sys');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\4ee2278e.exe');
DeleteFile('C:\WINDOWS\system32\epuxoy.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 51
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\f322f814.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- сделайте лог Combofix
-
-
Junior Member
- Вес репутации
- 51
архив карантина загрузил, сделал лог combofix
-
файл c:\windows\System32\wuauclt.exe восстановите из дистрибутива
Удалите ComboFix
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('c:\windows\system32\f322f814.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 51
никак не удается восстановить файл wuauclt.exe (( установил консоль, загружаю ее, выбираю диск виндой (установочный), потом ищу wuauclt.exe пишет что не найден... подскажите что не так делаю
-
Вы инструкцию читали внимательно? Делали так?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
вот что делаю, открываю консоль восстановления:
первое что пишу cd E:\i386 (в E вставлен диск с виндой установочный)
затем идет строка
C:\windows>в ней пишу dir wuauclt.ex*
и пишет сообщение: Том на диске С не имеет метки
Серийный номер тома: f0cf-2091
Cодержимое поиска C:\windows\wuauclt.ex*
Подходящих файловне найдено
-
Читаем внимательно. Начинать нужно с этого
После входа с паролем администратора (если такого пароля нет - просто нажмите клавишу ВВОД) и появления приглашения к диалогу наберите команду:
вместо x подставьте букву драйва, в котором находится дистрибутив.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
тогда вопрос дистрибутив это диск с установочной виндой или отдельно нужно создавать программой типа nLite?? тогда не совсем понятно как создать сам дистрибутив, подскажите кто знает !
-
Сообщение от
slayer333
дистрибутив это диск с установочной виндой
Да
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
ну тогда я вместо х писал Е (дисковод в котором был диск), то есть cd E:\i386
диск запускался , дальше писал dir wuauclt.ex*
но выдавал как я и писал ранее сообщение
Том на диске С не имеет метки
Серийный номер тома: f0cf-2091
Cодержимое поиска C:\windows\wuauclt.ex*
Подходящих файловне найдено
-
Сделайте так (после каждой строки нажимать Enter)
Код:
E:
cd i386
dir wuauclt.ex*
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
сделал как вы написали, нашел все таки мой диск и файл но тут опять проблемка(
E:\i386>dir wuauclt.ex*
Том на диске Е ....далее идет версия винды.....
10/25/08 12:38а --r------ 40588 wuauclt.ex_
1 файлов 40588
0 байт свободно
далее пытаюсь распаковать wuauclt.ex_
E:\i386>expand wuauclt.ex_ C:\windows\system32\wuauclt.exe
но пишет: Не удается создать файл wuauclt.exе
0 файлов распаковано
вот терь сижу в тупике....
-
Скопируйте wuauclt.ex_ в какую-нибудь папку.
Загрузитесь обычным образом
Распакуйте wuauclt.ex_ архиватором и скопируйте в папку system32
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
распаковал с помощью винрара, тут же НОД32 определил wuauclt.exe как вирус троян и поместил его в карантин. Что это может значить ? что в установочном файле уже были вирусы ??
-
Скачайте файл во вложении и распакуйте в папку system32
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
распаковал файл wuauclt.exe в system32
удалил combofix
выполнил скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('c:\windows\system32\f322f814.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-
-