Показано с 1 по 10 из 10.

winupd01.exe в ctfmon'e, помогите (заявка № 76280)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2010
    Адрес
    Simferopol
    Сообщений
    14
    Вес репутации
    29

    Thumbs up winupd01.exe в ctfmon'e, помогите

    Сеть примерно 35 машин, стояли нод32 и AVG 8.5, появилась следующая проблема - пропала языковая панель, AVG перестал обновляться и перестали запускаться его модули, при в ходе в Safe Mode, ПК перезагружается. AVZ, Dr. Web CureIt! при запуске сразу же закрываются.
    В журнале ошибок появляется что, то типо "переполнение TCP/IP", при этом есть сервер терминалов на win2000, если эти машины в сети, то он бедняга перезагружается с уведомлением "сбой в службе service.exe ошибка с кодом 128"
    Возьму конкретную машину пока... WinXP HE SP3, умудряюсь после перезагрузки сразу запустить AVZ и быстро ткнуть галочку "AVZ Guard", тогда он остается работать.
    AVZ находит процесс москирующийся под winupd01.exe
    Ничего не могу с ним сделать, запускаю через AVZ диспечер процессов(авзетовский). вижу там этот процесс, прибиваю его вроде. Иду через "поиск и удаление файлов" в C:\windows\system32\ , нахожу его там, но
    пишет, что удалить можно только после перезагрузки.
    З.Ы. Знаю, что тему офрмил не по правилам до конца, virusinfo_syscheck.zip, HJT - hijackthis.log выложу через час.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\xau.exe','');
     QuarantineFile('c:\windows\system32\winupd01.exe','');
     DeleteFile('c:\windows\system32\winupd01.exe');
     DeleteFile('C:\Documents and Settings\NetworkService\xau.exe');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0005051.exe:exe.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0006058.exe:userini.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0007069.exe:userini.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0007148.exe:userini.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0008077.exe:userini.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{6F08B7BB-3CD8-499E-A68A-28BEC098F64B}\RP143\A0008088.exe:exe.exe:$DATA');
    ExecuteRepair(13); 
    ExecuteRepair(9); 
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    16.04.2010
    Адрес
    Simferopol
    Сообщений
    14
    Вес репутации
    29
    После выполнения скрипта.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     QuarantineFile('C:\WINDOWS\TASKMAN.EXE','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     RebootWindows(true);
    end.
    После перезагрузки:
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    Последний раз редактировалось polword; 16.04.2010 в 11:32.

  6. #5
    Junior Member Репутация
    Регистрация
    16.04.2010
    Адрес
    Simferopol
    Сообщений
    14
    Вес репутации
    29
    После выполнения рекомендаций.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логах ничего подозрительного...

  8. #7
    Junior Member Репутация
    Регистрация
    16.04.2010
    Адрес
    Simferopol
    Сообщений
    14
    Вес репутации
    29
    Спасибо, вроде копм (компы) стал лучше работать, сейчас проверяю работу с сервером терминалов.
    Осталось одно "но" - те машины на которых был найден winupd01.exe...
    В часности с той которой Вы мне помогали, ОС не загружается в SafeMode, идет перезагрузка.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    ExecuteRepair(10); 
    end.

  10. #9
    Junior Member Репутация
    Регистрация
    16.04.2010
    Адрес
    Simferopol
    Сообщений
    14
    Вес репутации
    29
    Еще раз огромное спасибо - помогло, сейвмод то же заработал.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) nomiDs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ctfmon.exe
      От Steel в разделе Windows для опытных пользователей
      Ответов: 18
      Последнее сообщение: 05.06.2012, 18:18
    2. Вирусы в локальной сети после winupd01
      От pipsun в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 24.04.2010, 11:21
    3. Вирус winupd01.exe на всех компах по локалке
      От Strannik1009 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.04.2010, 19:54
    4. Winupd01 ???
      От Корнилов Сергей в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 09.04.2010, 21:46
    5. Помогите, пожалуйста, с spool.exe, ctfmon.exe, ftpdll.dll
      От boblopes в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.11.2008, 19:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01412 seconds with 16 queries