Не удается найти "С\Windows\system\WindowsUpdater.exe" - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Не удается найти "С\Windows\system\WindowsUpdater.exe" (http://forum.oszone.net/showthread.php?t=215845)

Уважаемые, помогите избавиться от такой проблемы:
После загрузки Windows 7x32 вылазит табличка : Не удается найти "С\Windows\system\WindowsUpdater.exe". Проверьте, правильно ли указано имя и повторите попытку.
При закрытии таблички все работает. но при очередной перезагрузке все повторяется, а в реестре вообще отсутствует раздел: WindowsUpdate.
Несмотря на то, что windows работает, выбрасываемая табличка достала.
Как прекратить этот сбой windows.

Выполните правила:

http://forum.oszone.net/thread-98169.html

Здравствуйте. Вчера сканировал windows 7x32- NOD 32 и табличка перестала вылазить, затем решил избавиться от временных файлов с помощью Ccleaner и когда это сделал, опять при загрузке появилась табличка:
Не удается найти "С\Windows\system\WindowsUpdater.exe". Проверьте, правильно ли указано имя и повторите попытку.
Приступил к работе по вашей инструкции и получил прикрепленные файлы: virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.doc, а файлы: log.tx, info.txt не обнаружил, посылаю их Вам, если это достаточно для решения проблемы, а если нет подскажите что делать?

Сейчас погляжу Ваши логи

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

 if ExecuteAVUpdateEx('http://avz.safezone.cc/base/', 0, '','','') then 

  AddToLog('Обновление AV баз (по настройкам IE) успешно выполнено');

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 TerminateProcessByName('c:\windows\system\wmiaspvr.exe');

 QuarantineFile('C:\Windows\system32\gtal.exe','');

 QuarantineFile('c:\windows\system\wmiaspvr.exe','');

 DeleteFile('c:\windows\system\wmiaspvr.exe');

 DeleteFile('C:\Windows\system32\gtal.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:

O4 - HKLM\..\Policies\Explorer\Run: [System] gtal.exe

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Повторные логи:

Объясните, что с ними делать? Вредоносные удалить? Или...

alex_sev. Огромная благодарность за помощь. Табличка исчезла. Нужно ли продолжать, что-то делать дальше?

Повторите сканирование в MBAM и удалите только следующие строки:

Код:

c:\Users\администратор\AppData\Local\Bromium\user data\Default\Cache\f_001afd (Trojan.Agent) -> No action taken.

c:\Windows\system\file\file.exe (Trojan.Agent) -> No action taken.

e:\накладная.exe (Trojan.Agent) -> No action taken.

Если не устанавливали радмин то еще вот эти:

Код:

c:\Windows\system\AdmDll.dll (PUP.RemoteAdmin) -> No action taken.

c:\Windows\system\raddrv.dll (PUP.RemoteAdmin) -> No action taken.

Логи RSIT по-возможности все-таки сделайте:

Сообщение от для x86
Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

В карантине Trojan.PWS.Gtal

Смените все пароли ICQ, почта итд

В логах чисто.

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий программы, которые могут быть причиной заражения из-за уязвимостей:

Adobe Flash Player

Все сделал.
Сенкью.