Показано с 1 по 8 из 8.

wuaucldt и компания (заявка № 78988)

  1. #1
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37

    Thumbs up wuaucldt и компания

    Какую-то гадость притащили злодеи а дрвеб проглядел
    wmicvrts и wuaucldt процессы висят, безопасный режим не грузится, HiJack и avz убивает на лету, дрвеб ничего не видит. Путем переименования авз в абырвалг удалось его запустить , и после изнасилования wuaucldt.exe hijack успел один раз выполниться прежде чем уйти в ребут. Поможите чем можите

    З.Ы. Карантинчик
    Файл сохранён как 100521_125107_2010-05-21_4bf6497ba8985.zip
    Размер файла 344936
    MD5 bdf4aff76ae9d54fd7cf5485d17e8eab
    Последний раз редактировалось aspu; 02.09.2010 в 11:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    271
    Пофиксите в Hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\wmicvrts.exe');
     QuarantineFile('C:\WINDOWS\system32\wmicvrts.exe','');
     QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\system32\implayok.exe','');
     QuarantineFile('c:\windows\system32\wuaucldt.exe','');
     QuarantineFile('c:\documents and settings\networkservice\wuaucldt.exe','');
     QuarantineFile('c:\documents and settings\mtisiz\wuaucldt.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\imPlayok.exe','');
     QuarantineFile('c:\windows\system32\wmicvrts.exe','');
     DeleteFile('c:\windows\system32\wmicvrts.exe');
     DeleteFile('C:\Documents and Settings\NetworkService\imPlayok.exe');
     DeleteFile('c:\documents and settings\mtisiz\wuaucldt.exe');
     DeleteFile('c:\documents and settings\networkservice\wuaucldt.exe');
     DeleteFile('c:\windows\system32\wuaucldt.exe');
     DeleteFile('C:\WINDOWS\system32\implayok.exe');
     DeleteFile('C:\WINDOWS\system32\wuaucldt.exe');
     DeleteFile('C:\WINDOWS\system32\wmicvrts.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','syncman');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','syncman');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','imPlayok');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','imPlayok');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    ExecuteRepair(13);
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

  4. #3
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37
    Пока два лога, третий выполняется
    Последний раз редактировалось aspu; 02.09.2010 в 11:53.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    271
    По логам чисто. Карантин пришлите!

  6. #5
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37
    Третий лог и карантин
    Файл сохранён как 100521_144302_2010-05-21_4bf663b6cd34b.zip
    Размер файла 3289110
    MD5 774d82fc60f6ad0ffebb6a6e0c752f8f
    Последний раз редактировалось aspu; 02.09.2010 в 11:53.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    271
    Удалим остатки:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\MTISIZ\Local Settings\Temporary Internet Files\Content.IE5\KLQNGXYJ\2ba[2].zip');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8325O1GF\n1b[2].zip');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WKZ54OKY\mg32[1].exe');
     DeleteFile('C:\System Volume Information\_restore{358DA98F-C4C1-4B11-A825-B823ED4F6225}\RP660\A0111168.sys');
     DeleteFile('C:\System Volume Information\_restore{358DA98F-C4C1-4B11-A825-B823ED4F6225}\RP660\A0117666.exe');
     DeleteFile('C:\WINDOWS\Temp\tmp1983.exe');
     DeleteFile('C:\WINDOWS\Temp\tmp972.exe');
    DeleteFileMask('%Tmp%', '*.*', true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пк перезагрузится. Что с проблемой?

  8. #7
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    82
    Вес репутации
    37
    Вроде чисто. Огромное спасибо /

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 33
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\mtisiz\local settings\temporary internet files\content.ie5\klqngxyj\2ba[2].zip - Backdoor.Win32.Cetorp.gr ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Generic.3686051 )
      2. c:\documents and settings\networkservice\implayok.exe - Trojan-PSW.Win32.Agent.qpp ( DrWEB: Trojan.Siggen.64400, BitDefender: Trojan.Generic.3692232, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Malware-gen )
      3. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\wkz54oky\mg32[1].exe - Trojan-Downloader.Win32.Small.kmj ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )
      4. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\8325o1gf\n1b[2].zip - Trojan.Win32.Buzus.dwin ( DrWEB: Trojan.Packed.20052, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:IRCBot-DRF [Trj] )
      5. c:\documents and settings\networkservice\wuaucldt.exe - Trojan-Downloader.Win32.Small.kmj ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )
      6. c:\system volume information\_restore{358da98f-c4c1-4b11-a825-b823ed4f6225}\rp660\a0111168.sys - Rootkit.Win32.Agent.aaew ( DrWEB: BackDoor.Bulknet.448, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.F virus, AVAST4: Win32:Cutwail-Y [Rtk] )
      7. c:\system volume information\_restore{358da98f-c4c1-4b11-a825-b823ed4f6225}\rp660\a0117666.exe - Trojan-Downloader.Win32.Small.kmj ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )
      8. c:\windows\system32\implayok.exe - Trojan-PSW.Win32.Agent.qpp ( DrWEB: Trojan.Siggen.64400, BitDefender: Trojan.Generic.3692232, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Malware-gen )
      9. c:\windows\system32\wmicvrts.exe - Trojan.Win32.Agent.dthx ( DrWEB: Trojan.MulDrop1.15573, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:IRCBot-DRF [Trj] )
      10. c:\windows\temp\tmp1983.exe - Trojan-Downloader.Win32.Small.kmj ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) aspu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус (wuaucldt.exe)
      От Hazar20 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.03.2011, 20:26
    2. Вирус wuaucldt.exe и Ко.
      От borof в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 27.02.2011, 23:57
    3. wuaucldt.exe и Ко
      От sap_sat в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.11.2010, 19:00
    4. Svhost, wuaucldt.exe
      От Vasya_pupkin665 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 25.08.2010, 06:48
    5. Хитросделаный wuaucldt.exe.
      От Donetsky в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.06.2010, 09:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00088 seconds with 16 queries