Junior Member
Вес репутации
60
Как удалить ZZZsvc_lich
Подхватил троян.
Касперский (версия 4.5.0.97) периодически на него рычит. Запустил его сканер, он ничего не нашел.
Я нашел в корневом каталоге файл lich.exe и удалил его руками, не используя AVZ. После этого Касперский вроде как перестал рычать, но висит служба ZZZsvc_lich, у которой запуск стоит на авто, исполняемый файл C:\lich.exe, которого уже нет.
Как удалить эту службу?
Во вложениях логии, после того как я уже удалил lich.exe.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('ZZZsvc_lich');
QuarantineFile('C:\WINDOWS\csrss.exe','');
DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\lich.exe');
BC_DeleteSvc('ZZZsvc_lich');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин по этой ссылке. Повторите логи.
Версии 4.5 антивируса Касперского устарела. Нужно обновиться до 7-й.
Junior Member
Вес репутации
60
Скрипт запустил
Карантин отправил.
В прикреплении логи
Вложения
Пришлите по правилам файл E:\Install\SOFT\NETWORK\SMS\SMS.EXE
Junior Member
Вес репутации
60
Удалите этот файл, сделайте для проверки повторные логи
Junior Member
Вес репутации
60
Файл удалил
Логи во вложениях
Вложения
выполните скрипт ....
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\Install\SOFT\PATCHES\CRACK\KEYFINDER.EXE','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Axb61.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Следом такой скрипт:
Код:
begin
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Axb61.sys');
BC_DeleteSvc('Axb61');
BC_Activate;
RebootWindows(true);
end.
Посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
E:\Install\SOFT\PATCHES\CRACK\KEYFINDER.EXE/{RAR-SFX}/officekey.exe >>>>> not-a-virus: PSWTool.Win32.RAS.a
Ай-яй-яй, низзя!
I am not young enough to know everything...
Junior Member
Вес репутации
60
Карантин выслать после 2-ого скрипта или до?
не имеет значения ... главное после первого
Junior Member
Вес репутации
60
1. Выполнил 1-ый скрипт
2. Отправил карантин
3. Выполнил 2-ой скрипт
Сообщение от
Bratez
Посмотрите, нужно ли вам что-то из этого:
Если честно - большая часть из этих служб мне ни о чем не говорит, щас попытаюсь понять что это за звери, и если не нужно буду отключать
Сообщение от
Bratez
Ай-яй-яй, низзя!
Последний раз редактировалось Starling; 23.12.2007 в 17:01 .
Junior Member
Вес репутации
60
у меня в исключениях XP-ого фаервола сидит вот такая бяка "222134313A689BB5", которая запускается C:\WINDOWS\csrss.exe.
Это нормально?
Этот файл был удален еще в сообщении #2.
Запись из исключений удалите.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 2 В ходе лечения вредоносные программы в карантинах не обнаружены