Показано с 1 по 9 из 9.

acluih.exe — заблокированы антивирусные утилиты и обновление Dr.Web (заявка № 46514)

  1. #1
    Junior Member Репутация
    Регистрация
    29.02.2008
    Адрес
    Россия, Самара
    Сообщений
    7
    Вес репутации
    37

    Exclamation acluih.exe — заблокированы антивирусные утилиты и обновление Dr.Web

    24.05 SpyWare Terminator предупредил о попытке изменения пункта автозагрузки:
    «Изменён: Generic Host Process for Win32 Services
    Пункт автозагрузки: acluih.exe»
    Я поискал acluih.exe в интернете. На русских сайтах ничего не нашёл, в том числе в вирусной базе Dr.Web и в Вирусной энциклопедии на «ВирусЛист». А на одном западном сайте нашёл статью про ADSLDPJ.EXE. В статье было написано, что он может использовать и другие имена файлов, среди которых ACLUIH.EXE.
    Вот ссылка http://www.prevx.com/filenames/X1604...SLDPJ.EXE.html
    Запретить попытку изменения пункта автозагрузки не получилось. Нажимаю на кнопку «Запретить», через некоторое время предупреждение появляется вновь.
    Найти acluih.exe удалось не сразу. SpyWare Terminator выдаёт следующую информацию: acluih.exe. Тип файла: приложение. Размер: 48,5 КБ (49 664 байт). Размещенме: C:\WINDOWS\system32. Команда: C:\WINDOWS\system32\acluih.exe.
    Но через «Проводник Windows» или «Поиск» находится только acluih - Ярлык к программе MS-DOS. Если открыть папку C:\WINDOWS\system32, то там опять же только ярлык. Если нажать на кнопку «Обзор» и кликнуть по ярлыку acluih, то имя файла указывается как acluih.PIF, кстати, этот файл я проверил онлайн-сканерами, Dr.Web и ещё двумя. Вирусов не нашли все три.
    Я знаю, что по правилам раздела необходимо исследовать систему с помощью AVZ и HiJackThis. Дело в том, что AVZ у меня стоит уже давно, но сегодня он, как выяснилось, работать перестал, файл справки открывается, сама утилита просто не реагирует. HiJackThis сегодня дважды скачивал с сайта Dr.Web, но запустить не удалось. Сегодня же обнаружил, что антивирус Dr.Web больше не обновляется. Вручную, через трей, включить обновление тоже не получается. Антивирус просто не отзывается, а вот сканер работает, вирус он не нашёл.
    Скачал Rootkit Unhooker, с его помощью удалось найти acluih.exe и скопировать, чтобы переслать файл в службу техподдержки Dr.Web. Оттуда запросили также эти файлы:
    C:\WINDOWS\system32\Drivers\uzexmtm2.sys
    C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys
    C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys
    C:\WINDOWS\system32\DRIVERS\lirsgt.sys
    Кстати, вскоре после окончания сканирования системы Rootkit Unhooker, комп без предупреждений перезагрузился, причину не знаю. Правда отчёт я успел сохранить.
    Может стоит попробовать удалить acluih.exe с помощью Rootkit Unhooker, там же вроде есть такая функция? Или надо скачать программу с сайта prevx.com?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Скачайте эту версию AVZ и сделайте логи ею.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    29.02.2008
    Адрес
    Россия, Самара
    Сообщений
    7
    Вес репутации
    37
    Проверил комп CureIt! в безопасном режиме. Были обнаружены и удалены сразу 2 Trojan.Inject.5512 по адресам C:\Windows\system32\digiwet.dll и C:\Documents and Settings\User\Local Settings\Temp\pdfupd.exe. По адресу C:\WINDOWS\system32\acluih.exe был найден и удалён BackDoor.IRC.Nite.18. Антивирусные утилиты и обновление Dr.Web по прежнему были заблокированы.
    Впрочем позже HiJackThis и AVZ удалось запустить переименовав.
    С помощью HiJackThis были удалены строки:
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) - - (no file)
    В это время SpyWare Terminator вновь предупредил о попытке изменения пункта автозагрузки, но уже файлом acluihq.exe. При повторном применении CureIt! вновь обнаружен и удалён Trojan.Inject.5512 по адресу C:\Windows\system32\digiwet.dll. Сам acluihq.exe был инфицирован BackDoor.IRC.Bot.114 (также удалён).
    Уже позже обнаружил следующие записи:
    O23 - Service: Фоновая интеллектуальная служба передачи (BITS) (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing)
    O23 - Service: Автоматическое обновление (wuauserv) - Unknown owner - %fystemroot%\system32\svchost.exe (file missing)
    Запустить regedit и исправить записи удалось только после его переименования.
    Проблемы: Dr.Web обновляется только вручную, AVZ, HiJackThis и regedit, возможно и некоторые другие программы, запускаются только если их переименовать. После второго появления вируса пошли проблемы с обновлением ОС: на сайте MS пишут, что произошла ошибка, поэтому определить какие мне надо ставить обновления нельзя.
    Как можно исправить эти проблемы и не появится ли вирус в третий раз?
    Прикладываю логи.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Отключите восстановление системы! См. Приложение 1 Правил.
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     ExecuteRepair(9);
     QuarantineFile('msansspc.dll','');
     DeleteFile('msansspc.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

    Установите Adobe Acrobat Reader 9.1 или удалите старый.
    Обновите Adobe Flash http://get.adobe.com/flashplayer
    Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

  6. #5
    Junior Member Репутация
    Регистрация
    29.02.2008
    Адрес
    Россия, Самара
    Сообщений
    7
    Вес репутации
    37
    Спасибо. Сделал всё как Вы написали. Теперь AVZ и regedit запускаются нормально, без переименования. DrWeb удалось обновить.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    В логе чисто.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Код:
    O23 - Service: Фоновая интеллектуальная служба передачи (BITS) (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing) 
    O23 - Service: Автоматическое обновление (wuauserv) - Unknown owner - %fystemroot%\system32\svchost.exe (file missing)
    исправьте в реестре
    Код:
    %fystemRoot%
    на
    Код:
    %systemRoot%

  9. #8
    Junior Member Репутация
    Регистрация
    29.02.2008
    Адрес
    Россия, Самара
    Сообщений
    7
    Вес репутации
    37
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    исправьте в реестре
    Код:
    %fystemRoot%
    на
    Код:
    %systemRoot%
    Спасибо, но уже исправил. Сразу как запустился regedit.
    У меня другие вопросы есть. Правда может они не для этой темы.
    1. Дело в том, что во время второй проверки CureIt обнаружил и удалил BackDoor.IRC.Bot.114 в копии файла acluihq.exe, которую я сделал для того чтобы отослать на проверку. В оригинальном файле вирус обнаружен не был. Позже его проверили в Dr.Web, новый acluihq.exe оказался безвредным - полностью заполнен нулями. Число MD5 инфицированного acluihq.exe - 51e4a807c10fae72974a09e06029a0a7, а нового, безвредного - 37f4d73e918ef6795e52f618e4370b4f. Получается, что BackDoor самоуничтожился?
    2. acluihq.exe успел прописаться в регистре:
    HKLM\SOFTWARE\Microsoft\Ole\Win32Update C:\WINDOWS\system32\acluihq.exe
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Win32Upd ate C:\WINDOWS\system32\acluihq.exe
    HKCU\Software\Microsoft\OLE\Win32Update C:\WINDOWS\system32\acluihq.exe
    HKCU\SYSTEM\CurrentControlSet\Control\Lsa\Win32Upd ate C:\WINDOWS\system32\acluihq.exe
    Он также прописался ещё и здесь:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ComDlg32\OpenSaveMRU\*\d C:\WINDOWS\system32\acluihq.exe
    HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ComDlg32\OpenSaveMRU\exe\a C:\WINDOWS\system32\acluihq.exe
    Но я покопался в инете и эти записи просто удалил. А вот что такое Ole\Win32Update и Lsa\Win32Update, я найти не сумел. И что теперь делать? Просто удалить? Или он подставил себя вместо других файлов?
    Если эти вопросы не по теме, прошу прощения. А так проблема решена. Ещё раз спасибо.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Или он подставил себя вместо других файлов?
    Если бы это было так, у вас были бы проблемы в работе системы или как минимум сообщения об ошибках, потому что файла этого уже нет. Раз все нормально работает, значит эти ссылки никому не нужны и можно их удалить.
    I am not young enough to know everything...

  • Уважаемый(ая) АланРадуга, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Блокируются антивирусные утилиты
      От tehnik34 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.04.2011, 16:51
    2. Не запускаются антивирусные утилиты
      От HolyFreak в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.09.2010, 16:37
    3. Ответов: 9
      Последнее сообщение: 05.09.2010, 23:22
    4. Не могу скачать антивирусные утилиты
      От SmileYo в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.07.2010, 18:50
    5. Заблокированы системные утилиты
      От chargetim в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.12.2009, 14:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01643 seconds with 17 queries