Здравствуйте!
Словил на днях[/B][B] Вирус (wuaucldt.exe) [COLOR=Black]после чего при открытии страниц в мозиле постоянно появлялись непонятные иероглифы...
подскажите что мне делать???
Здравствуйте!
Словил на днях[/B][B] Вирус (wuaucldt.exe) [COLOR=Black]после чего при открытии страниц в мозиле постоянно появлялись непонятные иероглифы...
подскажите что мне делать???
Последний раз редактировалось Hazar20; 24.03.2011 в 19:17.
Здравствуйте.
Отключите Восстановление системы.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\HAZAR\system32\54B23E\376005.EXE O20 - AppInit_DLLs: C:\HAZAR\system32\lwodhsf.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\pchd\pchdplayer.exe'); TerminateProcessByName('c:\hazar\system32\54b23e\376005.exe'); ClearQuarantine; QuarantineFile('E:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\HAZAR\system32\54B23E\376005.EXE',''); QuarantineFile('C:\HAZAR\system32\lwodhsf.dll',''); QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\shell.fne',''); QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\krnln.fnr',''); QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\internet.fne',''); QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\eAPI.fne',''); QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\dp1.fne',''); QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\com.run',''); QuarantineFile('c:\program files\pchd\pchdplayer.exe',''); DeleteFile('c:\program files\pchd\pchdplayer.exe'); DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\com.run'); DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\dp1.fne'); DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\eAPI.fne'); DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\internet.fne'); DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\krnln.fnr'); DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\shell.fne'); DeleteFile('C:\HAZAR\system32\lwodhsf.dll'); DeleteFile('C:\HAZAR\system32\54B23E\376005.EXE'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','376005'); DeleteFile('D:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFileMask('c:\program files\pchd','*.*', true); DeleteFileMask('C:\HAZAR\system32\E7772B','*.*', true); DeleteFileMask('c:\hazar\system32\54b23e','*.*', true); DeleteFileMask('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4','*.*', true); DeleteDirectory('c:\program files\pchd'); DeleteDirectory('C:\HAZAR\system32\E7772B'); DeleteDirectory('c:\hazar\system32\54b23e'); DeleteDirectory('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Запустите/включите антивирус/файрволл.Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Огромное спасибо!!! Помогло!
Повторные логи надо было приложить в новом сообщении, а не взамен старых. Ну да ладно.
Пофиксите в HijackThis:
Больше подозрительного не обнаружил.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться повторная активация Виндовс).
Обновите Internet Explorer до актуальной версии (даже если не используете).
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\\hazar\\system32\\lwodhsf.dll - Trojan.Win32.Zapchast.esq ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.5481121, NOD32: Win32/TrojanDownloader.Agent.QJE trojan, AVAST4: Win32:Vundo-JQ [Trj] )
- c:\\hazar\\system32\\54b23e\\376005.exe - Worm.Win32.FlyStudio.bg ( DrWEB: Win32.HLLW.Autoruner.2888, BitDefender: GenPack:Trojan.Spy.Agent.NXS, NOD32: Win32/AutoRun.FlyStudio.ZD worm, AVAST4: Win32:EvilEPL [Cryp] )
- c:\\program files\\pchd\\pchdplayer.exe - not-a-virus:Porn-Tool.Win32.StripDance.d ( DrWEB: Trojan.StartPage.38971 )
Уважаемый(ая) Hazar20, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.