Доброго времени суток.
Итак: словил wuaucldt.exe и 34byl.exe. Проверил в безопасном редиме dr.cureit, который "нашёл и обезвредил". После перезагрузки всё вернулось.
Printable View
Доброго времени суток.
Итак: словил wuaucldt.exe и 34byl.exe. Проверил в безопасном редиме dr.cureit, который "нашёл и обезвредил". После перезагрузки всё вернулось.
Здравствуйте.
[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/QUOTE]
Пожалуйста, пришлите avz.exe по [URL="http://virusinfo.info/showthread.php?t=4567"]правилам[/URL].
Затем пролечитесь [URL="http://virusinfo.info/showthread.php?t=15927"]так[/URL].
Отправка через страницу не работает, отправил на емейл.
UPD
К симптомам добавилась переадресация в браузерах на 91.193.194.98/invest/
[size="1"][color="#666686"][B][I]Добавлено через 4 часа 32 минуты[/I][/B][/color][/size]
[QUOTE=hedgars;770201]Здравствуйте.
Пожалуйста, пришлите avz.exe по правилам.
Затем пролечитесь [U]так[/U].[/QUOTE]
"Пролечился", но получилось так же, как я описал в первом посте.
А [URL="http://virusinfo.info/showpost.php?p=648638&postcount=4"]так[/URL] пробовали лечиться?
Если и так не поможет, то пошлите файл avz.exe в вирлаб Доктора Веба/Касперского. Через несколько дней скачайте CureIt/Virus Removal Tool заново.
Да, так пробовал. По-подробнее про отправку в вирлаб. Спасибо.
[QUOTE='borof;770663']По-подробнее про отправку в вирлаб[/QUOTE]Файл с карантином отправьте через [url="http://support.kaspersky.ru/virlab/helpdesk.html"]данную форму[/url].
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 8 Мб, то карантин отправьте по адресу [b][email protected][/b]
Полученный ответ сообщите здесь (с указанием номера KLAN)
avz.exe_ - Virus.Win32.Virut.ce [KLAN-116321493]
Ну тогда [b]на чистом от вирусов компьютере[/b] запишите на CD/DVD утилиту [url]http://support.kaspersky.ru/viruses/solutions?qid=208636998[/url] и пролечитесь
Пролечился как описано выше, все симптомы ушли в нибытие (линие svchost, и процессы типа 34byl.exe). Пока полёт нормальный.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
UPD после перезагрузки процесс wuaucldt.exe вновь появился, но никаких проблем он не доставляет.
Спасибо, компьютер вновь стабилен.
Логи для контроля сделайте новые
Новые логи:
Да и AVZ по-прежнему заражен
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\userinit.exe','');
QuarantineFile('c:\windows\system32\config\systemprofile\wuaucldt.exe','');
QuarantineFile('c:\users\book\wuaucldt.exe','');
TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('c:\users\book\wuaucldt.exe');
DeleteFile('c:\windows\system32\config\systemprofile\wuaucldt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] отправьте через [url="http://support.kaspersky.ru/virlab/helpdesk.html"]данную форму[/url].
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 8 Мб, то карантин отправьте по адресу [b][email protected][/b]
Полученный ответ сообщите здесь (с указанием номера KLAN)
Скачайте AVZ еще раз и сделайте новые логи
При выполнении скрипта наглухо виснет авз и выдаёт ошибку с текстом:
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.35.0.1
Отметка времени приложения: 446f7ee3
Имя модуля с ошибкой: advapi32.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bd97e
Код исключения: c0000096
Смещение исключения: 00022a53
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: c396
Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449
Дополнительные сведения 3: c396
Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449
Попробуйте выполнить скрипт без
[CODE]SearchRootkit(true, true);
SetAVZGuardStatus(True);[/CODE]
Спасибо, помогло.
Ответ на карантин:
[KLAN-116652606]
bcqr00001.dat,
bcqr00002.dat,
userinit.exe,
wuaucldt.exe,
wuaucldt_0.exe
[QUOTE='thyrex;771026']Скачайте AVZ еще раз и сделайте новые логи[/QUOTE]Ждем-с