Когда у вас есть подозрение, что в вашем компьютере завелся какой-то нехороший зверек - то есть вирус, а ваш антивирус не только ничего не заподозрил, но и перестал обновлять свои антивирусные базы, срочно зовите доктора!

В качестве доктора может выступать Launcher (он же CureIt) от Доктора Веба, но, как показывает практика, этот доктор не всегда может помочь. К тому же производитель в последнее время усложнил процесс скачивания своей утилиты с сайта, и теперь нужно заполнить кучу полей статистических данных: возраст, образование, откуда узнали при утилиту и др... Ладно хоть цвет носков не нужно указывать! :)

Началось все с того, что Avira перестала обновляться. Попытки подключения к серверу обновлений оказывались неудачными. Фрагмент лога попытки обновления:

9:14:32 [UPD] [INFO] Checking whether newer files are available.
9:14:32 [UPD] [INFO] Select update server 'http://87.250.250.3/update'.
9:14:32 [UPD] [INFO] Downloading of 'http://87.250.250.3/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
9:14:32 [UPDLIB] [ERROR] Download manager: File 'http://87.250.250.3/update/idx/master.idx' not found.
9:14:32 [UPDLIB] [ERROR] Retry...
...
...

...
...
...
9:21:06 [UPDLIB] [ERROR] Retry...
9:21:06 [UPD] [INFO] Downloading of 'http://87.250.250.203/update/idx/master.idx' to 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
9:21:36 [UPDLIB] [ERROR] Download manager: The function WinINet::HttpSendRequest() 'http://87.250.250.203/update/idx/master.idx' failed. Error: The operation timed out
9:21:36 [UPDLIB] [ERROR] No additional servers found, the update will be canceled.
9:21:36 [UPD] [ERROR] Generation of update structure failed. UpdateLib delivers error 537.

Summary:
********
0 Files downloaded
0 Files installed

Wed Aug 17 09:21:36 2011
The update failed!

А после очередной перезагрузки компьютера вылезло сообщение об ошибке Winlogon.exe:

winlogon.exe ошибка приложения

и

инструкция по адресу обратилась к памяти по адресу ... память не может быть read

Я проверил файл hosts (C:\WINDOWS\system32\drivers\etc), он был девственно чист, ключи в реестре PersistentRoutes тоже не были заполнены запрещенными сайтами и IP-адресами.

Как уже было сказано выше, Доктор Веб обоср..лся и ничего не нашел, правда проверка была проведена утилитой, содержащей базу 14-дневной давности, но качать с сайта доктора веба свежую - просто бесит заполнять дурацкие поля формы.

В процессе поиска достойной альтернативы была найдена замечательная программа Malwarebytes Anti-Malware! Данная программа также имеет русский язык интерфейса, поэтому пользоваться ей будет удобно и понятно каждому борцу с вирусами.

Malwarebytes Anti-Malware предполагает два варианта использования: бесплатный и платный. Платный вариант дополнительно позволяет:

• защита в реальном времени от Malware
• автоматическое обновление с сайта
• и пр.

Программа была скачана с сайта производителя: http://www.malwarebytes.org, после чего была вручную обновлена ее БД, и проведена полная проверка диска С.

В результате проверки было найдено несколько зараженных объектов. Некоторые из них были безобидными, но вот один вирус оказался новеньким и он же и являлся причиной всех проблем.

Это был - Spyware.Passwords.XGen. Жил он тут: c:\WINDOWS\AppPatch\wbgubf.exe А еще прописал себя в автозагрузку вместе с Userinit, в ветке реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

был дописан параметр (выделено красным): userinit.exe,C:\WINDOWS\apppatch\wbgubf.exe

Теоретически я сам мог проверить этот ключ реестра, но что-то как-то упустил этот момент, подумав, что только файл hosts и ключи реестра PersistentRoutes могут давать запрет на обновление антивирусной программы.

Программа Malwarebytes Anti-Malware радостно удалила зверька (правда с требованием перезагрузки, но это не страшно). В результате - Avira смогла обновиться, ошибка с Winlogon.exe не выскочила.