acluih.exe — заблокированы антивирусные утилиты и обновление Dr.Web

24.05 SpyWare Terminator предупредил о попытке изменения пункта автозагрузки:
«Изменён: Generic Host Process for Win32 Services
Пункт автозагрузки: acluih.exe»
Я поискал acluih.exe в интернете. На русских сайтах ничего не нашёл, в том числе в вирусной базе Dr.Web и в Вирусной энциклопедии на «ВирусЛист». А на одном западном сайте нашёл статью про ADSLDPJ.EXE. В статье было написано, что он может использовать и другие имена файлов, среди которых ACLUIH.EXE.
Вот ссылка [url]http://www.prevx.com/filenames/X1604737613609532835-X1/ADSLDPJ.EXE.html[/url]
Запретить попытку изменения пункта автозагрузки не получилось. Нажимаю на кнопку «Запретить», через некоторое время предупреждение появляется вновь.
Найти acluih.exe удалось не сразу. SpyWare Terminator выдаёт следующую информацию: acluih.exe. Тип файла: приложение. Размер: 48,5 КБ (49 664 байт). Размещенме: C:\WINDOWS\system32. Команда: C:\WINDOWS\system32\acluih.exe.
Но через «Проводник Windows» или «Поиск» находится только acluih - Ярлык к программе MS-DOS. Если открыть папку C:\WINDOWS\system32, то там опять же только ярлык. Если нажать на кнопку «Обзор» и кликнуть по ярлыку acluih, то имя файла указывается как acluih.PIF, кстати, этот файл я проверил онлайн-сканерами, Dr.Web и ещё двумя. Вирусов не нашли все три.
Я знаю, что по правилам раздела необходимо исследовать систему с помощью AVZ и HiJackThis. Дело в том, что AVZ у меня стоит уже давно, но сегодня он, как выяснилось, работать перестал, файл справки открывается, сама утилита просто не реагирует. HiJackThis сегодня дважды скачивал с сайта Dr.Web, но запустить не удалось. Сегодня же обнаружил, что антивирус Dr.Web больше не обновляется. Вручную, через трей, включить обновление тоже не получается. Антивирус просто не отзывается, а вот сканер работает, вирус он не нашёл.
Скачал Rootkit Unhooker, с его помощью удалось найти acluih.exe и скопировать, чтобы переслать файл в службу техподдержки Dr.Web. Оттуда запросили также эти файлы:
C:\WINDOWS\system32\Drivers\uzexmtm2.sys
C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys
C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys
C:\WINDOWS\system32\DRIVERS\lirsgt.sys
Кстати, вскоре после окончания сканирования системы Rootkit Unhooker, комп без предупреждений перезагрузился, причину не знаю. Правда отчёт я успел сохранить.
Может стоит попробовать удалить acluih.exe с помощью Rootkit Unhooker, там же вроде есть такая функция? Или надо скачать программу с сайта prevx.com?

Скачайте [URL="http://www.speedshare.org/download.php?id=DEAC5E593"]эту версию AVZ [/URL]и сделайте логи ею.

Проверил комп CureIt! в безопасном режиме. Были обнаружены и удалены сразу 2 Trojan.Inject.5512 по адресам C:\Windows\system32\digiwet.dll и C:\Documents and Settings\User\Local Settings\Temp\pdfupd.exe. По адресу C:\WINDOWS\system32\acluih.exe был найден и удалён BackDoor.IRC.Nite.18. Антивирусные утилиты и обновление Dr.Web по прежнему были заблокированы.
Впрочем позже HiJackThis и AVZ удалось запустить переименовав.
С помощью HiJackThis были удалены строки:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
В это время SpyWare Terminator вновь предупредил о попытке изменения пункта автозагрузки, но уже файлом acluihq.exe. При повторном применении CureIt! вновь обнаружен и удалён Trojan.Inject.5512 по адресу C:\Windows\system32\digiwet.dll. Сам acluihq.exe был инфицирован BackDoor.IRC.Bot.114 (также удалён).
Уже позже обнаружил следующие записи:
O23 - Service: Фоновая интеллектуальная служба передачи (BITS) (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing)
O23 - Service: Автоматическое обновление (wuauserv) - Unknown owner - %fystemroot%\system32\svchost.exe (file missing)
Запустить regedit и исправить записи удалось только после его переименования.
Проблемы: Dr.Web обновляется только вручную, AVZ, HiJackThis и regedit, возможно и некоторые другие программы, запускаются только если их переименовать. После второго появления вируса пошли проблемы с обновлением ОС: на сайте MS пишут, что произошла ошибка, поэтому определить какие мне надо ставить обновления нельзя.
Как можно исправить эти проблемы и не появится ли вирус в третий раз?
Прикладываю логи.

[b]Отключите восстановление системы![/b] См. Приложение 1 Правил.
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteRepair(9);
QuarantineFile('msansspc.dll','');
DeleteFile('msansspc.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Установите Adobe Acrobat Reader 9.1 или удалите старый.
Обновите Adobe Flash [url]http://get.adobe.com/flashplayer[/url]
Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]

Спасибо. Сделал всё как Вы написали. Теперь AVZ и regedit запускаются нормально, без переименования. DrWeb удалось обновить.

В логе чисто.

[CODE]O23 - Service: Фоновая интеллектуальная служба передачи (BITS) (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing)
O23 - Service: Автоматическое обновление (wuauserv) - Unknown owner - %fystemroot%\system32\svchost.exe (file missing)[/CODE]
исправьте в реестре [CODE]%fystemRoot%[/CODE] на [CODE]%[B]s[/B]ystemRoot%[/CODE]

[QUOTE=Alex_Goodwin;413181]
исправьте в реестре [CODE]%fystemRoot%[/CODE] на [CODE]%[B]s[/B]ystemRoot%[/CODE][/QUOTE]
Спасибо, но уже исправил. Сразу как запустился regedit.
У меня другие вопросы есть. Правда может они не для этой темы.
1. Дело в том, что во время второй проверки CureIt обнаружил и удалил BackDoor.IRC.Bot.114 в копии файла acluihq.exe, которую я сделал для того чтобы отослать на проверку. В оригинальном файле вирус обнаружен не был. Позже его проверили в Dr.Web, новый acluihq.exe оказался безвредным - полностью заполнен нулями. Число MD5 инфицированного acluihq.exe - 51e4a807c10fae72974a09e06029a0a7, а нового, безвредного - 37f4d73e918ef6795e52f618e4370b4f. Получается, что BackDoor самоуничтожился?
2. acluihq.exe успел прописаться в регистре:
HKLM\SOFTWARE\Microsoft\Ole\Win32Update C:\WINDOWS\system32\acluihq.exe
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Win32Update C:\WINDOWS\system32\acluihq.exe
HKCU\Software\Microsoft\OLE\Win32Update C:\WINDOWS\system32\acluihq.exe
HKCU\SYSTEM\CurrentControlSet\Control\Lsa\Win32Update C:\WINDOWS\system32\acluihq.exe
Он также прописался ещё и здесь:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\d C:\WINDOWS\system32\acluihq.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe\a C:\WINDOWS\system32\acluihq.exe
Но я покопался в инете и эти записи просто удалил. А вот что такое Ole\Win32Update и Lsa\Win32Update, я найти не сумел. И что теперь делать? Просто удалить? Или он подставил себя вместо других файлов?
Если эти вопросы не по теме, прошу прощения. А так проблема решена. Ещё раз спасибо.

[QUOTE]Или он подставил себя вместо других файлов?[/QUOTE]
Если бы это было так, у вас были бы проблемы в работе системы или как минимум сообщения об ошибках, потому что файла этого уже нет. Раз все нормально работает, значит эти ссылки никому не нужны и можно их удалить.