-
Junior Member
- Вес репутации
- 53
Service.exe с кодом 1073741819
При входе в ОС с учетной записи администратора выходит сообщение о ошибке service.exe ,если отклонить предложение об отправке сообщения требует перезагрузить компьютер .При вводе команды whutdown /a перезагрузка останавливается но все зависает .
Вот что выходит .
services.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Подпись ошибки
szAppName : services.exe szAppVer : 5.1.2600.5755 szModName : ntdll.dll
szModVer : 5.1.2600.5755 offset : 00001ecc
Технические свединия об отчете
C:\DOCUME~1\2762~1\LOCALS~1\Temp\WERcbde.dir00\ser vices.exe.mdmp
C:\DOCUME~1\2762~1\LOCALS~1\Temp\WERcbde.dir00\app compat.txt
Код 1073741819
Последний раз редактировалось pig; 27.06.2010 в 18:38.
Причина: оформление
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\tlagd5f.exe,\\?\globalroot\systemroot\system32\X3yMEuu.exe,\\?\globalroot\systemroot\system32\6zu8Pk1.exe,\\?\globalroot\systemroot\system32\P9IEHNv.exe,\\?\globalroot\systemroot\system32\fhGelGg.exe,\\?\globalroot\systemroot\system32\NTljeld.exe,\\?\globalroot\systemroot\system32\3lUr20I.exe,\\?\globalroot\systemroot\system32\xmFetYj.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5K0-4OPM-00WE-AAX5-27EF1D187263}');
QuarantineFile('c:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\xmFetYj.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\X3yMEuu.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\P9IEHNv.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\NTljeld.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\6zu8Pk1.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\3lUr20I.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\3lUr20I.exe');
DeleteFile('\\?\globalroot\systemroot\system32\6zu8Pk1.exe');
DeleteFile('\\?\globalroot\systemroot\system32\NTljeld.exe');
DeleteFile('\\?\globalroot\systemroot\system32\P9IEHNv.exe');
DeleteFile('\\?\globalroot\systemroot\system32\X3yMEuu.exe');
DeleteFile('\\?\globalroot\systemroot\system32\fhGelGg.exe');
DeleteFile('\\?\globalroot\systemroot\system32\xmFetYj.exe');
DeleteFile('c:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe');
DeleteFileMask('c:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111', '*.*', true);
DeleteDirectory('c:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111');
DeleteFileMask('c:\EQUITY', '*.*', true);
DeleteDirectory('c:\EQUITY');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
При запуске Combofix вышло вот такое окно рис.1 (рисунок вложен в письмо) так как я не владею английским я нажал на кнопку “да” процесс продолжился .Через несколько секунд вышло еще одно окно в котором как я понял говорилось о том , что у меня не установлено контроль восстановления и мне предлагалось подключится к Интернету скачать и установить её , что я и сделал . При первом запуске процесс завис на создании отчета , я остановил процесс и запустил его повторно .
Последний раз редактировалось lAvarecl; 29.06.2010 в 22:51.
-
c:\windows\system32\05c3CGP.exe удалите вручную
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Да проблема решилась большое спасибо !
-
Удалите ComboFix
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\tlagd5f.exe,\\?\globalroot\systemroot\system32\X3yMEuu.exe,\\?\globalroot\systemroot\system32\6zu8Pk1.exe,\\?\globalroot\systemroot\system32\P9IEHNv.exe,\\?\globalroot\systemroot\system32\fhGelGg.exe,\\?\globalroot\systemroot\system32\NTljeld.exe,\\?\globalroot\systemroot\system32\3lUr20I.exe,\\?\globalroot\systemroot\system32\xmFetYj.exe,\\?\globalroot\systemroot\system32\VMZoODJ.exe,
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Все удалил но Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\glob alroot\systemroot\system3
Не удалось потому что такой строки нету .
-
Значит удалилось другими утилитами.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\ntljeld.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.PWS.Ibank.50, AVAST4: Win32:Rootkit-gen [Rtk] )
- \\?\globalroot\systemroot\system32\p9iehnv.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.Packed.20415, BitDefender: Backdoor.Generic.379225 )
- \\?\globalroot\systemroot\system32\xmfetyj.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )
- \\?\globalroot\systemroot\system32\x3ymeuu.exe - Trojan-Dropper.Win32.Small.ffu ( DrWEB: Trojan.MulDrop1.34603, BitDefender: Trojan.Generic.4207943, AVAST4: Win32:Rootkit-gen [Rtk] )
- \\?\globalroot\systemroot\system32\3lur20i.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.PWS.Ibank.50, AVAST4: Win32:Malware-gen )
- \\?\globalroot\systemroot\system32\6zu8pk1.exe - Backdoor.Win32.Shiz.hx ( DrWEB: Trojan.PWS.Ibank.49, BitDefender: Trojan.Generic.4216032 )
-