Junior Member
Вес репутации
52
Вирус (wuaucldt.exe)
Здравствуйте!
Словил на днях указанный в теме вирус.
При загрузке системы всплывало окно угрозы от avast, в автозагрузке появились непонятные программы, а стандартная папка автозагрузки (из меню "пуск") была вообще отключена.
Вроде избавился от всего, с утра было все нормально.
Однако сейчас при включении снова вылезает avast с угрозой.
Помогите, пожалуйста, разобраться, в чем дело.
Заранее спасибо!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system\dwm.exe');
QuarantineFile('c:\windows\system\dwm.exe','');
TerminateProcessByName('c:\windows\system32\drivers\svtanegar.exe');
QuarantineFile('c:\windows\system32\drivers\svtanegar.exe','');
QuarantineFile('C:\WINDOWS\system\dwm.exe','');
QuarantineFile('C:\WINDOWS\system32\msxslt3.exe','');
DeleteFile('C:\WINDOWS\system32\msxslt3.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MsXSLT');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Junior Member
Вес репутации
52
Помогло.
Спасибо огромное!
Ещё не всё. Подождём результатов карантина.
Junior Member
Вес репутации
52
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\drivers\svtanegar.exe');
StopService('svtaneg');
SetServiceStart('svtaneg', 4);
DeleteService('svtaneg');
TerminateProcessByName('c:\windows\system\dwm.exe');
StopService('darkness');
SetServiceStart('darkness', 4);
DeleteService('darkness');
DeleteFile('C:\WINDOWS\system\dwm.exe');
BC_DeleteSvc('darkness');
DeleteFile('C:\WINDOWS\system32\drivers\svtanegar.exe');
BC_DeleteSvc('svtaneg');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Подготовьте новые логи
- После лечения меняйте все пароли
Junior Member
Вес репутации
52
Выкладываю новые логи.
Еще раз спасибо!
Вложения
Junior Member
Вес репутации
52
Все нормализовалось (по крайней мере, внешне) еще после выполнения первых ваших указаний.
Не забудьте про пароли. У Вас был зверь, который их крадёт.
Junior Member
Вес репутации
52
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 9 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system\\dwm.exe - Backdoor.Win32.Tierry.f ( DrWEB: Trojan.DownLoader1.9719, BitDefender: Trojan.Generic.5245808, AVAST4: Win32:Malware-gen ) c:\\windows\\system32\\drivers\\svtanegar.exe - Trojan-PSW.Win32.Papras.akp ( DrWEB: Trojan.Click1.27933, BitDefender: Trojan.Generic.5192616, AVAST4: Win32:Malware-gen )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !