Service.exe с кодом 1073741819

[lAvarecl]

При входе в ОС с учетной записи администратора выходит сообщение о ошибке service.exe ,если отклонить предложение об отправке сообщения требует перезагрузить компьютер .При вводе команды whutdown /a перезагрузка останавливается но все зависает .
Вот что выходит .
services.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Подпись ошибки
szAppName : services.exe szAppVer : 5.1.2600.5755 szModName : ntdll.dll
szModVer : 5.1.2600.5755 offset : 00001ecc
Технические свединия об отчете
C:\DOCUME~1\2762~1\LOCALS~1\Temp\WERcbde.dir00\ser vices.exe.mdmp
C:\DOCUME~1\2762~1\LOCALS~1\Temp\WERcbde.dir00\app compat.txt

Код 1073741819

[thyrex]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\tlagd5f.exe,\\?\globalroot\systemroot\system32\X3yMEuu.exe,\\?\globalroot\systemroot\system32\6zu8Pk1.exe,\\?\globalroot\systemroot\system32\P9IEHNv.exe,\\?\globalroot\systemroot\system32\fhGelGg.exe,\\?\globalroot\systemroot\system32\NTljeld.exe,\\?\globalroot\systemroot\system32\3lUr20I.exe,\\?\globalroot\systemroot\system32\xmFetYj.exe,

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5K0-4OPM-00WE-AAX5-27EF1D187263}');
 QuarantineFile('c:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\xmFetYj.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\X3yMEuu.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\P9IEHNv.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\NTljeld.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\6zu8Pk1.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\3lUr20I.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\3lUr20I.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\6zu8Pk1.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\NTljeld.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\P9IEHNv.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\X3yMEuu.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\fhGelGg.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\xmFetYj.exe');
 DeleteFile('c:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe');
DeleteFileMask('c:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111', '*.*', true);
DeleteDirectory('c:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111');
DeleteFileMask('c:\EQUITY', '*.*', true);
DeleteDirectory('c:\EQUITY');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ
Сделайте новые логи

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[lAvarecl]

Log

[thyrex]

Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1

[lAvarecl]

При запуске Combofix вышло вот такое окно рис.1 (рисунок вложен в письмо) так как я не владею английским я нажал на кнопку “да” процесс продолжился .Через несколько секунд вышло еще одно окно в котором как я понял говорилось о том , что у меня не установлено контроль восстановления и мне предлагалось подключится к Интернету скачать и установить её , что я и сделал . При первом запуске процесс завис на создании отчета , я остановил процесс и запустил его повторно .

[thyrex]

c:\windows\system32\05c3CGP.exe удалите вручную

Проблема решена?

[lAvarecl]

Да проблема решилась большое спасибо !

[thyrex]

Удалите ComboFix

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\tlagd5f.exe,\\?\globalroot\systemroot\system32\X3yMEuu.exe,\\?\globalroot\systemroot\system32\6zu8Pk1.exe,\\?\globalroot\systemroot\system32\P9IEHNv.exe,\\?\globalroot\systemroot\system32\fhGelGg.exe,\\?\globalroot\systemroot\system32\NTljeld.exe,\\?\globalroot\systemroot\system32\3lUr20I.exe,\\?\globalroot\systemroot\system32\xmFetYj.exe,\\?\globalroot\systemroot\system32\VMZoODJ.exe,

[lAvarecl]

Все удалил но Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\glob alroot\systemroot\system3
Не удалось потому что такой строки нету .

[thyrex]

Значит удалилось другими утилитами.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 21
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\?\globalroot\systemroot\system32\ntljeld.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.PWS.Ibank.50, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. \\?\globalroot\systemroot\system32\p9iehnv.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.Packed.20415, BitDefender: Backdoor.Generic.379225 )
  3. \\?\globalroot\systemroot\system32\xmfetyj.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )
  4. \\?\globalroot\systemroot\system32\x3ymeuu.exe - Trojan-Dropper.Win32.Small.ffu ( DrWEB: Trojan.MulDrop1.34603, BitDefender: Trojan.Generic.4207943, AVAST4: Win32:Rootkit-gen [Rtk] )
  5. \\?\globalroot\systemroot\system32\3lur20i.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.PWS.Ibank.50, AVAST4: Win32:Malware-gen )
  6. \\?\globalroot\systemroot\system32\6zu8pk1.exe - Backdoor.Win32.Shiz.hx ( DrWEB: Trojan.PWS.Ibank.49, BitDefender: Trojan.Generic.4216032 )