-
Junior Member
- Вес репутации
- 51
winupd01.exe в ctfmon'e, помогите
Сеть примерно 35 машин, стояли нод32 и AVG 8.5, появилась следующая проблема - пропала языковая панель, AVG перестал обновляться и перестали запускаться его модули, при в ходе в Safe Mode, ПК перезагружается. AVZ, Dr. Web CureIt! при запуске сразу же закрываются.
В журнале ошибок появляется что, то типо "переполнение TCP/IP", при этом есть сервер терминалов на win2000, если эти машины в сети, то он бедняга перезагружается с уведомлением "сбой в службе service.exe ошибка с кодом 128"
Возьму конкретную машину пока... WinXP HE SP3, умудряюсь после перезагрузки сразу запустить AVZ и быстро ткнуть галочку "AVZ Guard", тогда он остается работать.
AVZ находит процесс москирующийся под winupd01.exe
Ничего не могу с ним сделать, запускаю через AVZ диспечер процессов(авзетовский). вижу там этот процесс, прибиваю его вроде. Иду через "поиск и удаление файлов" в C:\windows\system32\ , нахожу его там, но
пишет, что удалить можно только после перезагрузки.
З.Ы. Знаю, что тему офрмил не по правилам до конца, virusinfo_syscheck.zip, HJT - hijackthis.log выложу через час.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\xau.exe','');
QuarantineFile('c:\windows\system32\winupd01.exe','');
DeleteFile('c:\windows\system32\winupd01.exe');
DeleteFile('C:\Documents and Settings\NetworkService\xau.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0005051.exe:exe.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0006058.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0007069.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0007148.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0008077.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0008088.exe:exe.exe:$DATA');
ExecuteRepair(13);
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 51
После выполнения скрипта.
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\TASKMAN.EXE','');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Последний раз редактировалось polword; 16.04.2010 в 12:32.
-
-
Junior Member
- Вес репутации
- 51
После выполнения рекомендаций.
-
в логах ничего подозрительного...
-
-
Junior Member
- Вес репутации
- 51
Спасибо, вроде копм (компы) стал лучше работать, сейчас проверяю работу с сервером терминалов.
Осталось одно "но" - те машины на которых был найден winupd01.exe...
В часности с той которой Вы мне помогали, ОС не загружается в SafeMode, идет перезагрузка.
-
выполните скрипт
Код:
begin
ExecuteRepair(10);
end.
-
-
Junior Member
- Вес репутации
- 51
Еще раз огромное спасибо - помогло, сейвмод то же заработал.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-