Показано с 1 по 11 из 11.

Svhost, wuaucldt.exe (заявка № 85736)

  1. #1
    Junior Member Репутация
    Регистрация
    17.04.2010
    Сообщений
    9
    Вес репутации
    25

    Thumbs up Svhost, wuaucldt.exe

    Доброго времени суток. После захода на один из сайтов с отключенным НОДом, и последующим его включением, я был очень обрадован парой десятков его сообщений о куче заражённых файлов в system32/drivers а также об экзешнике там же. Тут же скачанный cureIt ничего не нашёл, последняя AVZ указала на подозрительный файл в той же папке wuaucldt.exe. Этот экзешник, его bak и ещё пяток файлов (в т.ч. из temporary internet files) с тем же временем создания были успешно убиты, после чего в папке drivers стало якобы чисто. Однако после ребута я столкнулся с точно такой же проблемой как тут: http://virusinfo.info/showthread.php?t=85030 http://virusinfo.info/showthread.php?t=85443 Удаление 2-х wuau**.exe из автозагрузки не помогло, svhost по-прежнему грузит 1 ядро на 100% после отражённой атаки. Подскажите где искать бяку или дайте готовый скрипт. Спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Выполните скрипт в AVZ в безопасном режиме
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
      QuarantineFile('C:\thumbs.db','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\updpxe32.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\updpxe32.exe');
     DeleteFile('C:\thumbs.db');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    17.04.2010
    Сообщений
    9
    Вес репутации
    25
    Сделал. По-моему проблема уже пофикшена (по крайней мере svhost со 100% загрузкой уже не выскакивает)
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\WINDOWS\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    17.04.2010
    Сообщений
    9
    Вес репутации
    25
    Спасибо, сделал. Повторные логи выкладывать? Следил за загрузкой цп - время от времени одно ядро грузит ekrn.exe (но я так понимаю это эвристика нода просто) на несколько секунд, а в остальном - ничего сверхъестественного.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Лог МВАМ после удаления нужен
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    17.04.2010
    Сообщений
    9
    Вес репутации
    25
    Вот. Извините за задержку.
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    в логе чисто. Что-нибудь еще беспокоит?

  10. #9
    Junior Member Репутация
    Регистрация
    17.04.2010
    Сообщений
    9
    Вес репутации
    25
    Нет, больше никаких аномальностей. Благодарю за помощь.
    Если есть возможность, перед закрытием темы посоветуйте какой-либо плагин(надстройку) для IE/FF для проверки ссылки(сайта) на вирусную опасность

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,523
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\updpxe32.exe - Backdoor.Win32.Bredolab.gyt ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Trojan.Heur.Zbot.5, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Vasya_pupkin665, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирус (wuaucldt.exe)
      От Hazar20 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.03.2011, 20:26
    2. Вирус wuaucldt.exe и Ко.
      От borof в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 27.02.2011, 23:57
    3. wuaucldt.exe и Ко
      От sap_sat в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.11.2010, 19:00
    4. Хитросделаный wuaucldt.exe.
      От Donetsky в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.06.2010, 10:04
    5. wuaucldt и компания
      От aspu в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.05.2010, 15:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00101 seconds with 22 queries