поимал Backdoor.Win32, теперь неработает(врёт) автоматическое обновление.

Printable View

05.10.2008, 03:41
-Vampir-

Вложений: 3

поимал Backdoor.Win32, теперь неработает(врёт) автоматическое обновление.

Добрый вечер, есть подозрение на наличие вирусов...
Еще давно скачал игру Euro Truck Simulator от [URL="www.tfile.ru/forum/viewtopic.php?t=177838"]СЮДА[/URL], вчера вспомнил про неё и решил установить, но установочник ни в какую нехотел открываться, тока с 5 раза запустился, установка прошла нормально, никах запросов оутпост не спрашивал, после установки в трее вылесло сообщение от Сист.Без. о том что отключено обновление.....
Корочь, позже вылезло сообщение от нод32 "C:\WINDOWS\system32\drivers\etc\hosts Win32/Qhost троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\sdphost.exe."
в процессах повисли 2 новых процесса, один отвечает за значок в трее системы безопасности, другой за что-то там какойто ввод текста ( ctfmon.exe, wscntfy.exe )
[URL="http://www.virustotal.com/ru/analisis/4c23a14d6f35a5dc54ccc2e081e0424f"]Вот отчёт о файле sdphost.exe с virustotal.ру[/URL]

мне кажется заражён фаил wscntfy.exe, потому через центр обеспечения безопасности автоматическое обновление не включается, а в свойствах ситемы выбрано "включить обновление"
05.10.2008, 11:22
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\rtuf.exe','');
DeleteFile('C:\WINDOWS\system32\rtuf.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
05.10.2008, 14:36
-Vampir-

Вложений: 3

карантин прислал, вот новые логи..
05.10.2008, 15:27
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.i.com.ua/~video/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=:;gopher=:;;https=:;socks=:;
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Никита.BC0BE57C8331474\mha.exe \s
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Никита.BC0BE57C8331474\mha.exe','');
DeleteFile('C:\Documents and Settings\Никита.BC0BE57C8331474\mha.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
05.10.2008, 17:28
-Vampir-

Вложений: 3

карантин прислал, вот логи

З.Ы. обновление так и не включается...
05.10.2008, 18:16
Rene-gad

Пуск/Выполнить... regedit
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update[/CODE]экспортируйте, запакуйте, прикрепите к сообщению.
05.10.2008, 19:09
-Vampir-

Вложений: 1

вот фаил реестра
05.10.2008, 19:47
V_Bond

параметр ResetAU удалите
05.10.2008, 20:11
-Vampir-

удалил, ребутнул, всё равно выдаёт:
[QUOTE]Центру обеспечения безопасности не удается изменить параметры автоматического обновления. Попробуйте изменить параметры, используя диалоговое окно "Система* в панели управления. На вкладке "Автоматическое обновление" выберите "Автоматически (рекомендуется) и щелкните "ОК".[/QUOTE]
А в свойствах всё включено...
05.10.2008, 20:22
V_Bond

удалите все параметры кроме ConfigVer,AUOptions,ScheduledInstallDay,ScheduledInstallTime
перегрузитесь
05.10.2008, 21:02
-Vampir-

удалил, перезагрузился, и опять ничего не изменилось..
в реестре кроме тех значений которые я не удалял появился еще IncludeRecommendedUpdates
05.10.2008, 21:37
Rene-gad

Содержимое кода
[CODE]REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000005
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"UseWUServer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000002
"AUState"=dword:00000002
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000e
"NextDetectionTime"="2008-10-04 06:19:18"
"BalloonTime"="2008-09-25 15:06:01"
"BalloonType"=dword:00000004
"ConfigVer"=dword:00000001
"ResetAU"=dword:00000001
"OfflineDetectionPending"=dword:00000001
"IncludeRecommendedUpdates"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Detect]
"LastSuccessTime"="2008-10-03 11:34:21"
"LastError"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Download]
"LastError"=dword:00000000
"LastSuccessTime"="2008-09-24 15:36:48"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install]
"LastSuccessTime"="2008-09-25 15:05:47"
"LastError"=dword:00000000[/CODE]
сохраните в текстовом файле, сохраните его как 123.reg, запустите, перегрузитесь.
05.10.2008, 22:18
-Vampir-

сделал, но сообщение всёравно появляется и через центр обеспнечения безопасности обновление не включается , но теперь в свойства-обновление нельзя отключить обновление ( недоступно для выбора )
может дело в wscntfy.exe ?
05.10.2008, 23:58
Rene-gad

[QUOTE=-Vampir-;293163]
может дело в wscntfy.exe ?[/QUOTE]Этот файл управляет Центром Безопасности Виндовс ([B]W[/B]indows [B]S[/B]ecurity [B]C[/B]enter).
Пуск/Выполнить, набрать
[CODE]net start wuaserv[/CODE]
+ВВОД
06.10.2008, 00:16
-Vampir-

на пол секунды появляется дос окно C:\WINDOWS\system32\net.exe с сообщением " не удалось ......" ( не успеваю прочитать или сделать скрин ) и закрывается

я знаю для чего wscntfy.exe, прост я гдет читал что некоторые вирусы используют его для прикрытия и чтоб удалить вирус надо выгрузить этот прочесс.
он не закрывается, и эта проблема появилась тогда, когда я поймал вирус
06.10.2008, 11:53
Rene-gad

[QUOTE=-Vampir-;293249]на пол секунды появляется дос окно C:\WINDOWS\system32\net.exe с сообщением " не удалось ......" ( не успеваю прочитать или сделать скрин ) и закрывается[/QUOTE]Хмм, значит не удается запустить службу.
[QUOTE=-Vampir-;293249]
я знаю для чего wscntfy.exe, прост я гдет читал что некоторые вирусы используют его для прикрытия[/QUOTE]
Выполните замену системных файлов с помощью команды [B]sfc /scannow[/B]: [url]http://support.microsoft.com/?scid=kb%3Bru%3B310747&x=6&y=15[/url]
07.10.2008, 18:11
-Vampir-

замена не сработола/не помогла, поскоку у меня был диск сп2, а винда была обновлена до сп3.
тему можно закрывать, переустановил винду поверх старой.
22.02.2009, 08:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]