Показано с 1 по 20 из 20.

ieupdr2 (заявка № 16748)

  1. #1
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    10
    Вес репутации
    39

    Thumbs up ieupdr2

    Здравствуйте! Проблема следующая. Сидела в интернете. Вдруг Avast выкидывает окно "Обнаружен вирус!" (Одновременно с этим на рабочем столе появляется файл под названием "ieupdr2.exe", который я пробую удалить, но безрезультатно). Запускаю проверку. Вирусы находятся, большую их часть Avast помещает в хранилище.
    После перезагрузки компа на значке Avast появляется красный перечеркнутый знак (типа "СТОП"). Сканер доступа не работает - "Подсистема AAVM обнаружила ошибку RPC. Операция не может быть завершена.» При попытке заглянуть в хранилище — «Хранилище вирусного сервера не выполняется. Связь через RPC потерпела неудачу.» Видимо, антивирус исчерпал свои возможности.
    Зато получилось удалить появившийся файл "ieupdr2.exe". Похожие я нашла в C:\Documents and Settings. Удалила. Но от этого не легче. Проверила комп с помощью cureit. В ходе полной проверки нашел целую кучу всего, большую часть не смог удалить, а «Переместил». В процессе проверки вылезает окно «Инструкция по адресу «0x28a2048» обратилась к памяти по адресу «0x28a2048». Память не может быть «read». «OK» - завершение приложения.» (Такие сообщения выскакивали у меня и раньше – при закрытии окон InternetExplorer. А сейчас – появляются в любой момент.)
    И еще одно сообщение, которое появлялось уже два раза после появления файла "ieupdr2.exe" следующее: «Система завершает работу. Сохраните данные и выйдите из системы. Отключение системы вызвано NTAUTHORITY\SYSTEM. Необходимо перезагрузить Windows, поскольку произошла непредвиденная остановка службы. Запуск серверных процессов DCOM.» И идет отсчет времени.

    Посоветуйте, как быть?
    Заранее благодарю Вас за помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Pwe53.sys','');
     QuarantineFile('c:\windows\system32\wmedia32.exe','');
     DeleteFile('c:\windows\system32\wmedia32.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Pwe53.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_ImportALL;
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Pwe53');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    10
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Pwe53.sys','');
     QuarantineFile('c:\windows\system32\wmedia32.exe','');
     DeleteFile('c:\windows\system32\wmedia32.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Pwe53.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_ImportALL;
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Pwe53');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.
    Карантин выслала.
    Новые логи.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Pwe53');
     SetServiceStart('Pwe53', 4);
     DeleteFile('C:\WINDOWS\system32\Drivers\Pwe53.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     DeleteFile('wmedia32.exe');
     BC_DeleteSvc('Pwe53');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ....

  6. #5
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    10
    Вес репутации
    39
    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Pwe53');
     SetServiceStart('Pwe53', 4);
     DeleteFile('C:\WINDOWS\system32\Drivers\Pwe53.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     DeleteFile('wmedia32.exe');
     BC_DeleteSvc('Pwe53');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ....
    скрипт выполнила.
    новые логи.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    Выполните скрипт в AVZ
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Pwe53\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Pwe53.sys');
     BC_DeleteSvc('Pwe53');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Pwe53.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи. Прикрепите также boot_clr.log из папки AVZ.

  8. #7
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    10
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Выполните скрипт в AVZ
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Pwe53\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Pwe53.sys');
     BC_DeleteSvc('Pwe53');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Pwe53.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи. Прикрепите также boot_clr.log из папки AVZ.
    сделала.
    высылаю новые.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('smtpdrv');
     DeleteService('smtpdrv');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_DeleteSvc('smtpdrv');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите virusinfo_syscheck.zip ....

  10. #9
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    10
    Вес репутации
    39
    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('smtpdrv');
     DeleteService('smtpdrv');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_DeleteSvc('smtpdrv');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите virusinfo_syscheck.zip ....
    Все выполнила.
    высылаю новый

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    да не высылать нужно .... а прикрепить к сообщению ... и не нужно цитировать сообщения хелперов - это мешает ...

  12. #11
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    10
    Вес репутации
    39
    я понимаю. имела ввиду прикрепить. только теперь он отказывается загружаться. пишет, что "файл вкладывается в сообщение". и где же он?

  13. #12
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    10
    Вес репутации
    39
    получилось
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    в логе стерильно чисто ....
    что-то из этого нужно .... ?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  15. #14
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    10
    Вес репутации
    39
    Надо же! Спасибо Вам большое!
    В смысле "что-нибудь нужно"? Я, к сожалению, не имею понятия, что все эти перечисления значат...

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    компьютер домашний \ рабочий ?
    локальная сеть есть \ нет ?

  17. #16
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    10
    Вес репутации
    39
    Компьютер домашний.
    Локальной сети нет.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  19. #18
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    10
    Вес репутации
    39
    Сделала все, как Вы сказали. Видимо, теперь все должно работать, как часы?
    Огромнейшее Вам спасибо за помощь! Не представляю, что бы делала, без Вашего форума!
    И вопрос напоследок: какой антивирус Вы посоветуете?
    Был и NOD, но он тоже пропустил, правда, проработал год до этого исправно, а Avast и 3-х месяцев не протянул.
    Еще раз благодарю!

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,313
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\наталия\\doctorweb\\quarantine\\~.exe - Trojan-Downloader.Win32.Tiny.agg (DrWEB: Trojan.DownLoader.45539)
      2. c:\\documents and settings\\наталия\\doctorweb\\quarantine\\ieupdate r[1].exe - Trojan-Downloader.Win32.Tiny.agg (DrWEB: Trojan.DownLoader.45539)
      3. c:\\documents and settings\\наталия\\doctorweb\\quarantine\\ieupdate r[10.exe - Trojan-Downloader.Win32.Tiny.agg (DrWEB: Trojan.DownLoader.45539)
      4. c:\\documents and settings\\наталия\\doctorweb\\quarantine\\ieupdate r[11.exe - Trojan-Downloader.Win32.Tiny.agg (DrWEB: Trojan.DownLoader.45539)
      5. c:\\documents and settings\\наталия\\doctorweb\\quarantine\\ieupdate r[12.exe - Trojan-Downloader.Win32.Tiny.agg (DrWEB: Trojan.DownLoader.45539)
      6. c:\\documents and settings\\наталия\\doctorweb\\quarantine\\ieupdr.e xe - Trojan-Downloader.Win32.Tiny.agg (DrWEB: Trojan.DownLoader.45539)
      7. c:\\documents and settings\\наталия\\doctorweb\\quarantine\\_svchost .exe - Trojan-Downloader.Win32.Tiny.agg (DrWEB: Trojan.DownLoader.45539)
      8. c:\\windows\\system32\\drivers\\smtpdrv.sys - Email-Worm.Win32.Agent.l (DrWEB: Trojan.NtRootKit.360)
      9. c:\\windows\\system32\\wmedia32.exe - Trojan-PSW.Win32.Agent.wy (DrWEB: Trojan.PWS.Omen)


  • Уважаемый(ая) 4irenush, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. ieupdr2 и ie_updates3r
      От Mr.Page в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 05:24
    2. Проблема с компом из-за ieupdr2.exe
      От ukralex в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:24
    3. Пытается грузить файл ieupdr2.exe
      От bormanr в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 20.05.2008, 22:27
    4. ieupdr2.винды работают только в защищенном режиме
      От Ворона (Олег) в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.01.2008, 14:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01054 seconds with 17 queries