заразился по собственной глупости и доверию анти-вирусу...
скачал не воспроизводимый фильм (через торрент), в "комплекте" был файл якобы установшик кодеков - я его запустил... он что-то установил (судя по меню и в правду были какие нибудь кодеки...)
антивирус начал ругаться на C:\Windows\System32\services.exe, и ещё на кучу разных файлов - что они заражены троянскими программами т.п
перед запуском обоих файлов я просканировал (фильм и кодек), avast ничего не обнаружил, да и после - тоже.
Kaspersky Removal Tool - при сканировании в безопасном режиме вообще ничего не обнаружил...
пользуюсь Windows 7 Home Edition
без зараженного services.exe виндовс не запускается, 00000004.@ и 80000000.@ создаются каждый раз по новому, оба Desktop.ini - тоже..
вот теперь не знаю что делать..
Последний раз редактировалось Никита Соловьев; 21.03.2013 в 21:30.
Причина: антиспам реагирует на этот код
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Romaner811, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
скрипт выполнил, а файл загрузить кажется не получилось - говорит что это уже загружено.
* файл архива весит 22 байт, надеюсь это нормально...
сканирование MBAM в процессе.
- - - Добавлено - - -
хм.. MBAM похоше ничего относяшегося к проблеме не выявил :\
P.S: у меня ещё есть Ubuntu (линукс) на этом же компюторе,
через него я могу получить доступ к системным файлам виндовс
(именно так я и узнал что он не грузится без зараженного системного файла),
пологая что карантин не удался возможно по той самой причине что файл
не поддаётся ни копированию ни удалению, могу попробовать скопировать
его через линукс.
сделать это?
* загружать на вирус-тотал пришлось копию, которую сделал через убунту - оригинал гугль хром не видет.
если что он уменя находится: D:\services.exe.infected
скрипт запустил, а за что отвечают эти ветви (BITS, wuauserv), или сервисы?
- - - Добавлено - - -
** при перезагрузке обратно на виндовс комп сильно тормозил, это не впервые но началось недавно - изначально был только чёрный экран с курсором.
я попробовал нажать WIN+R по началу он не открывался, я включил дисплечер задач, и заметил что висит процесс консоли (cmd.exe, conhost.exe) хотя в разделе апликаций пусто. я мог его включиь случайно нажав ввод (энтер) т.к
последний раз я его и вызывал через WIN+R. хотя с другой стороны он выключился самостоятельно после чего и
появилось наконецто окно Run.
Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
Код:
tdsskiller.exe -silent -qmbr -qboot -qsus
Запустите файл fix.bat;
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
вредоносные (точно было установлено, какой вредоносной программой поражен объект);
подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
C:\TDSSKiller_Quarantine:
Файл сохранён как 130321_071432_TDSSKiller_Quarantine_514ab3587c7ec. zip
Размер файла 107420
MD5 2f3f9dcbec74ad4527d7307054f50301
* по прямой с диска С заархивировать не получилось, я скопировал на Д и архивировал от-туда, надеюсь раздницы нет.
TDSSKiller.exe - запустил
лог Gmer - сделал
D:\services.exe.infected:
Файл сохранён как 130321_084633_services.exe.infected_514ac8e9b5a08. zip
Размер файла 162642
MD5 e8b6dd85abfebc5dbd05b0d40b882872
запустите сканирование TDSSKiller-ом снова, при обнаружение угрозы Virus.Win64.ZAccess.a нажмите лечить. Перезагрузитесь и ещё раз просканируйте, новый лог сканирования после перезагрузки прикрепите.
Последний раз редактировалось regist; 21.03.2013 в 15:36.
проверка на вирусы через avast boot-time scan, нашла только одно заражение: D:\services.exe.infected
теперь сидит в карантине...
медленно он запускался,
да, консоль - коммандная строка. но после лечения системного services.exe,
система гораздо быстрее загружается и коммандную строку я больше не видел.
логи на всякий случай - прикрепил..
* папок GAC_32/GAC_64 в C:\Windows\assembly нет, в Windows\Installer\{ac747...}\
есть ещё одна папка - L вней есть 00000004.@ но аваст угрозы не обнаружил. удалять папку U в которой содержались зараженные или всю {ac747...} ?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: