-
Junior Member
- Вес репутации
- 62
Вирус в services.exe
Приветствую!!!
Значится по порядку.
Началось всё с сообщения на рабочем столе типа: у вас найден шпион, установите антивирус и удалите. Из данной учётной записи сделать ни чего не льзя, как и из других! Только при перезагрузке в сайф моде что-то удалось.
Вообщем вот вам логи из АВЗ, а вот логи из хайзис сделать не удалось.
С уважением Константин
Последний раз редактировалось Sulako; 15.07.2008 в 13:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ну и ну!!! Отключить в нормальном режиме "Восст. системы"
Скачать icesword. в нем удалить:
WinNt64.dll
WinCtrl32.dll
'C:\WINDOWS\System32\drivers\tcpsr.sys'
Профиксить в hijackthis строчки с:
WinNt64.dll
WinCtrl32.dll
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
QuarantineFile('haskel32.dll','');
QuarantineFile('WinNt64.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ywa.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\lphcnnrj0e771.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
QuarantineFile('C:\WINDOWS\helloserv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\svchost.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
DeleteService('Xko08');
DeleteService('Winru11');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqu62.sys','');
DeleteService('Winqu62');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
DeleteService('msdvdDrv');
QuarantineFile('C:\WINDOWS\System32\Drivers\Igd58.sys','');
DeleteService('Igd58');
SetServiceStart('Google Online Services', 4);
DeleteService('Google Online Services');
SetServiceStart('Schedule', 4);
DeleteService('Schedule');
QuarantineFile('C:\WINDOWS\system32\msdvdr.pif','');
QuarantineFile('C:\WINDOWS\system32\explorer.dll','');
TerminateProcessByName('c:\windows\system32\drivers\services.exe');
QuarantineFile('c:\windows\system32\drivers\services.exe','');
DeleteFile('c:\windows\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\explorer.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Igd58.sys');
DeleteFile('C:\WINDOWS\system32\msdvdr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqu62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winru11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xko08.sys');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\Documents and Settings\Администратор\svchost.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\system32\djki397g.dll');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\lphcnnrj0e771.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('WinNt64.dll');
DeleteFile('haskel32.dll');
DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин. Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Отключить востановление системы в нормальном режиме невозможно!!!
Где скачать icesword.
hijackthis не запускается!!
Скрипты выполню!!!
результат отпишу!!!
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Выслал карантин
_______________________________
Результат загрузки
Файл сохранён как080617_035121_virus_48577b093187f.zipРазмер файла357954MD5f152773713b66804657e7a306d4d3a53Файл закачан, спасибо!
__________________________________________________ ____После применения скрипта, удалось отключить востановление системы!! Потом картина повторилась, надпись на экране и ни чего делать не хочет. Опять ухожу в сайф мод и делаю логи!!!
icesword скачал но применить так и не удалось!! Попробую в сайф моде его!!!
hijackthis так и не запускается!!!
-
Junior Member
- Вес репутации
- 62
Сделал новые логи!
Потом вспомнил что можно востановить запуск exe и com. востановил! далее удалось запустить CureIt. Но всё это в сайф моде!!! На данный момент проверяется CureIt"ом!
Последний раз редактировалось Sulako; 15.07.2008 в 13:11.
-
Подождем результатов от Куре-Ит.
В логах стало уже получше. Некоторые вредные удалились.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
ну в общем тажа хрень только в профиль!!!
Снёс всё!!! Сейчас ставлю систему по новой!!!
Спасибо за участие!!