Вирус (wuaucldt.exe)

Printable View

24.03.2011, 16:56
Hazar20

Вложений: 1

Вирус (wuaucldt.exe)

Здравствуйте!
Словил на днях[/B][B] Вирус (wuaucldt.exe) [COLOR=Black]после чего при открытии страниц в мозиле постоянно появлялись непонятные иероглифы...
подскажите что мне делать???
24.03.2011, 18:19
Nikkollo

Здравствуйте.

Отключите Восстановление системы.

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Пофиксите в HijackThis:
[CODE]
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\HAZAR\system32\54B23E\376005.EXE
O20 - AppInit_DLLs: C:\HAZAR\system32\lwodhsf.dll

[/CODE]

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\pchd\pchdplayer.exe');
TerminateProcessByName('c:\hazar\system32\54b23e\376005.exe');
ClearQuarantine;
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\HAZAR\system32\54B23E\376005.EXE','');
QuarantineFile('C:\HAZAR\system32\lwodhsf.dll','');
QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\shell.fne','');
QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\krnln.fnr','');
QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\internet.fne','');
QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\eAPI.fne','');
QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\dp1.fne','');
QuarantineFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\com.run','');
QuarantineFile('c:\program files\pchd\pchdplayer.exe','');
DeleteFile('c:\program files\pchd\pchdplayer.exe');
DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\com.run');
DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\dp1.fne');
DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\eAPI.fne');
DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\internet.fne');
DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\krnln.fnr');
DeleteFile('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4\shell.fne');
DeleteFile('C:\HAZAR\system32\lwodhsf.dll');
DeleteFile('C:\HAZAR\system32\54B23E\376005.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','376005');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFileMask('c:\program files\pchd','*.*', true);
DeleteFileMask('C:\HAZAR\system32\E7772B','*.*', true);
DeleteFileMask('c:\hazar\system32\54b23e','*.*', true);
DeleteFileMask('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4','*.*', true);
DeleteDirectory('c:\program files\pchd');
DeleteDirectory('C:\HAZAR\system32\E7772B');
DeleteDirectory('c:\hazar\system32\54b23e');
DeleteDirectory('C:\DOCUME~1\HAZAR~1.HAZ\LOCALS~1\Temp\E_4');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
24.03.2011, 19:18
Hazar20

Огромное спасибо!!! Помогло!
24.03.2011, 20:26
Nikkollo

Повторные логи надо было приложить в новом сообщении, а не взамен старых. Ну да ладно.

Пофиксите в HijackThis:
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
[/CODE]

Больше подозрительного не обнаружил.

Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться повторная активация Виндовс).
Обновите Internet Explorer до актуальной версии (даже если не используете).
25.03.2011, 20:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\hazar\\system32\\lwodhsf.dll - [B]Trojan.Win32.Zapchast.esq[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.5481121, NOD32: Win32/TrojanDownloader.Agent.QJE trojan, AVAST4: Win32:Vundo-JQ [Trj] )[*] c:\\hazar\\system32\\54b23e\\376005.exe - [B]Worm.Win32.FlyStudio.bg[/B] ( DrWEB: Win32.HLLW.Autoruner.2888, BitDefender: GenPack:Trojan.Spy.Agent.NXS, NOD32: Win32/AutoRun.FlyStudio.ZD worm, AVAST4: Win32:EvilEPL [Cryp] )[*] c:\\program files\\pchd\\pchdplayer.exe - [B]not-a-virus:Porn-Tool.Win32.StripDance.d[/B] ( DrWEB: Trojan.StartPage.38971 )[/LIST][/LIST]