winupd01.exe в ctfmon'e, помогите

Printable View

16.04.2010, 09:56
nomiDs

winupd01.exe в ctfmon'e, помогите

Сеть примерно 35 машин, стояли нод32 и AVG 8.5, появилась следующая проблема - пропала языковая панель, AVG перестал обновляться и перестали запускаться его модули, при в ходе в Safe Mode, ПК перезагружается. AVZ, Dr. Web CureIt! при запуске сразу же закрываются.
В журнале ошибок появляется что, то типо "переполнение TCP/IP", при этом есть сервер терминалов на win2000, если эти машины в сети, то он бедняга перезагружается с уведомлением "сбой в службе service.exe ошибка с кодом 128"
Возьму конкретную машину пока... WinXP HE SP3, умудряюсь после перезагрузки сразу запустить AVZ и быстро ткнуть галочку "AVZ Guard", тогда он остается работать.
AVZ находит процесс москирующийся под winupd01.exe
Ничего не могу с ним сделать, запускаю через AVZ диспечер процессов(авзетовский). вижу там этот процесс, прибиваю его вроде. Иду через "поиск и удаление файлов" в C:\windows\system32\ , нахожу его там, но
пишет, что удалить можно только после перезагрузки.
З.Ы. Знаю, что тему офрмил не по правилам до конца, virusinfo_syscheck.zip, HJT - hijackthis.log выложу через час.
16.04.2010, 10:09
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\xau.exe','');
QuarantineFile('c:\windows\system32\winupd01.exe','');
DeleteFile('c:\windows\system32\winupd01.exe');
DeleteFile('C:\Documents and Settings\NetworkService\xau.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0005051.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0006058.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0007069.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0007148.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0008077.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0008088.exe:exe.exe:$DATA');
ExecuteRepair(13);
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
16.04.2010, 11:23
nomiDs

После выполнения скрипта.
16.04.2010, 12:23
polword

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/CODE]2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
QuarantineFile('C:\WINDOWS\TASKMAN.EXE','');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
16.04.2010, 13:17
nomiDs

После выполнения рекомендаций.
16.04.2010, 13:55
V_Bond

в логах ничего подозрительного...
16.04.2010, 14:02
nomiDs

Спасибо, вроде копм (компы) стал лучше работать, сейчас проверяю работу с сервером терминалов.
Осталось одно "но" - те машины на которых был найден winupd01.exe...
В часности с той которой Вы мне помогали, ОС не загружается в SafeMode, идет перезагрузка.
16.04.2010, 14:06
V_Bond

выполните скрипт
[code]
begin
ExecuteRepair(10);
end.
[/code]
16.04.2010, 14:49
nomiDs

Еще раз огромное спасибо - помогло, сейвмод то же заработал.
17.04.2010, 14:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]