Svhost, wuaucldt.exe

**Vasya_pupkin665** · 18.08.2010, 21:37

Доброго времени суток. После захода на один из сайтов с отключенным НОДом, и последующим его включением, я был очень обрадован парой десятков его сообщений о куче заражённых файлов в system32/drivers а также об экзешнике там же. Тут же скачанный cureIt ничего не нашёл, последняя AVZ указала на подозрительный файл в той же папке wuaucldt.exe. Этот экзешник, его bak и ещё пяток файлов (в т.ч. из temporary internet files) с тем же временем создания были успешно убиты, после чего в папке drivers стало якобы чисто. Однако после ребута я столкнулся с точно такой же проблемой как тут: http://virusinfo.info/showthread.php?t=85030 http://virusinfo.info/showthread.php?t=85443 Удаление 2-х wuau**.exe из автозагрузки не помогло, svhost по-прежнему грузит 1 ядро на 100% после отражённой атаки. Подскажите где искать бяку или дайте готовый скрипт. Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 18.08.2010, 21:56

Выполните скрипт в AVZ в безопасном режиме

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
  QuarantineFile('C:\thumbs.db','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\updpxe32.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\updpxe32.exe');
 DeleteFile('C:\thumbs.db');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

**Vasya_pupkin665** · 18.08.2010, 23:09

Сделал. По-моему проблема уже пофикшена (по крайней мере svhost со 100% загрузкой уже не выскакивает)

**thyrex** · 18.08.2010, 23:45

Удалите в МВАМ

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\WINDOWS\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

**Vasya_pupkin665** · 20.08.2010, 22:19

Спасибо, сделал. Повторные логи выкладывать? Следил за загрузкой цп - время от времени одно ядро грузит ekrn.exe (но я так понимаю это эвристика нода просто) на несколько секунд, а в остальном - ничего сверхъестественного.

**thyrex** · 21.08.2010, 12:08

Лог МВАМ после удаления нужен

**Vasya_pupkin665** · 23.08.2010, 22:42

Вот. Извините за задержку.

**polword** · 23.08.2010, 22:54

в логе чисто. Что-нибудь еще беспокоит?

**Vasya_pupkin665** · 24.08.2010, 07:07

Нет, больше никаких аномальностей. Благодарю за помощь.
Если есть возможность, перед закрытием темы посоветуйте какой-либо плагин(надстройку) для IE/FF для проверки ссылки(сайта) на вирусную опасность

**polword** · 24.08.2010, 07:48

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

**CyberHelper** · 25.08.2010, 07:48

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\updpxe32.exe - Backdoor.Win32.Bredolab.gyt ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Trojan.Heur.Zbot.5, AVAST4: Win32:Malware-gen )

Svhost, wuaucldt.exe (заявка № 85736)

Опции темы

Svhost, wuaucldt.exe

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Вирус (wuaucldt.exe)

Вирус wuaucldt.exe и Ко.

wuaucldt.exe и Ко

Хитросделаный wuaucldt.exe.

wuaucldt и компания

Ваши права в разделе