Winupd01 ???

Printable View

06.04.2010, 13:46
Корнилов Сергей

Winupd01 ???

Добрый день.
Прблема в следующем:
На компьютере стоит и антивиру Касперского 2010, началось все неожиданно, начали появлятся сообщения о подозрительной активности: winupd01.exe и другие названия.
Лечил CureIt, Касперским. Ничего не находится.
Кроме этого, постоянно в файле hosts появляется куча мусора на 4,5 Мб, видимо из-за этого зависает инет, не входит на сайты производитей антивирусов и т.д.
Собрал инфу avz, HijackThis - вообще не запускался, после переименования - запускается на 5 секунд, после этого комп перезагружается.
В безопасном режиме не грузится (перезагружается).

Помогите, плиз.
06.04.2010, 13:58
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
QuarantineFile('C:\WINDOWS\system32\zoojydobe.exe','');
QuarantineFile('C:\WINDOWS\system32\vaquuh.exe','');
QuarantineFile('C:\WINDOWS\system32\punumooqua.exe','');
QuarantineFile('C:\WINDOWS\system32\nouhouquou.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\xmkk.exe,explorer.exe,C:\Documents and Settings\1\Application Data\gnwwy.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\xmkk.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
StopService('uohdiybxyeyeo');
DeleteService('uohdiybxyeyeo');
QuarantineFile('C:\WINDOWS\system32\huzoonuroz.exe','');
QuarantineFile('C:\WINDOWS\system32\lavityza.exe','');
StopService('u9ial4y7a');
DeleteService('u9ial4y7a');
QuarantineFile('srservice.sys','');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
TerminateProcessByName('c:\windows\system32\winupd01.exe');
QuarantineFile('c:\windows\system32\winupd01.exe','');
DeleteFile('c:\windows\system32\winupd01.exe');
BC_DeleteFile('c:\windows\system32\winupd01.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\WINDOWS\system32\huzoonuroz.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\xmkk.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\xmkk.exe,explorer.exe,C:\Documents and Settings\1\Application Data\gnwwy.exe');
DeleteFile('C:\WINDOWS\system32\nouhouquou.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','liculi');
DeleteFile('C:\WINDOWS\system32\punumooqua.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mepim');
DeleteFile('C:\WINDOWS\system32\vaquuh.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hasoonnyh');
DeleteFile('C:\WINDOWS\system32\zoojydobe.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','coorot');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
06.04.2010, 16:54
Корнилов Сергей

После запуска этих скриптов компьютер начал постоянно перезагружаться. Невозможно зайти не в обычном, не в безопасном режиме.
Пришлось вставлять диск с WinXP и запускать установку, потом выбирать восстановление системы. После установки винды в режиме восстановления, визуально все осталось по прежнему.
Я собрал инфу AVZ, а HijackThis по прежнемы вызывает перезагрузку.
06.04.2010, 17:14
миднайт

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

[code]

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\winupd01.exe');
QuarantineFile('C:\WINDOWS\system32\moosuzuhop.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
QuarantineFile('C:\WINDOWS\system32\lavityza.exe','');
QuarantineFile('C:\WINDOWS\system32\cypoocemu.exe','');
QuarantineFile('C:\WINDOWS\system32\jottiriquif.exe','');
QuarantineFile('c:\windows\system32\supportappxl\autodect.exe','');
QuarantineFile('c:\windows\system32\winupd01.exe','');
DeleteFile('c:\windows\system32\winupd01.exe');
DeleteFile('C:\WINDOWS\system32\jottiriquif.exe');
DeleteFile('C:\WINDOWS\system32\cypoocemu.exe');
DeleteFile('C:\WINDOWS\system32\lavityza.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
DeleteFile('C:\WINDOWS\system32\moosuzuhop.exe');
DeleteService('u9ial4y7a');
DeleteService('i8eayoayplje');
DeleteService('o94iauuen0izeym');
DeleteService('pui9areugbr');
BC_DeleteFile('c:\windows\system32\winupd01.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('u9ial4y7a');
BC_DeleteSvc('i8eayoayplje');
BC_DeleteSvc('o94iauuen0izeym');
BC_DeleteSvc('pui9areugbr');
BC_Activate;
SetAVZPMStatus(True);
ExecuteRepair(13);
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
06.04.2010, 18:00
Корнилов Сергей

Все запустил, вот результаты.

При попытке загрузки карантина, сайт пишет:
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
06.04.2010, 18:19
миднайт

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите Антивирус и Файрвол.

В HiJackThis пофиксите:

[code]
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [Internet Connection Wizard Setup Tool] C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe
O24 - Desktop Component 0: (no name) - http://t3.gstatic.com/images?q=tbn:tuj_pm6VbvpIIM:http://ibud.ua/userfiles/image /Okna/Rehau/rehau_1.jpg
[/code]

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\lvmvdrv.sys','');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\SupportAppXL\AutoDect.exe','');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
DeleteService('ICF');
BC_DeleteSvc('ICF');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи. (лога virusinfo_syscure.zip не вижу)
06.04.2010, 19:02
Корнилов Сергей

Все запустил, высылаю результаты
06.04.2010, 20:50
миднайт

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\System Volume Information\_restore{BAD745E9-5E4E-484A-8B19-F0A5701B5907}\RP1\A0002384.exe:exe.exe:$DATA','');
DeleteFile('C:\System Volume Information\_restore{BAD745E9-5E4E-484A-8B19-F0A5701B5907}\RP1\A0002384.exe:exe.exe:$DATA');
BC_DeleteFile('C:\System Volume Information\_restore{BAD745E9-5E4E-484A-8B19-F0A5701B5907}\RP1\A0002384.exe:exe.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.
08.04.2010, 14:11
Корнилов Сергей

выполнено
Вот логи и карантин
08.04.2010, 14:36
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\LVCOMSX.EXE','');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
+ Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
08.04.2010, 18:11
Корнилов Сергей

Вложений: 1

Лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
08.04.2010, 22:46
thyrex

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.[/CODE]
09.04.2010, 22:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\_restore{bad745e9-5e4e-484a-8b19-f0a5701b5907}\rp1\a0002384.exe:exe.exe:$data - [B]Trojan.Win32.Inject.aojz[/B] ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Generic.3604041, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\svchost.exe:exe.exe:$data - [B]Trojan.Win32.Inject.aojz[/B] ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Generic.3604041, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]