Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

Userinit.exe, services.exe, svchost.exe (заявка № 26510)

  1. #1
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31

    Exclamation Userinit.exe, services.exe, svchost.exe

    Здравствуйте уважаемые хелперы,

    неделю назад получил подозрительное сообщение –
    всплывший в трее желтый щиток-значок похожий на обновления Windows заявил что, "обновления для Windows готовы". В инфе о контенте обновлений говорилось, что это якобы какой-то tool для удаления вредного ПО. Значок просил кликнуть и начать установку. При клике – все было очень похоже на Windows, но внешний вид не смахивал на ХР.
    При выключении и перезагрузке компьютера автоматической установки такого обновления не происходило.
    Все таки кликнул "установить", уповая на самантек – сейчас жалею.

    Результат – все программы, кроме самых необходимых или ненужных, были удалены из автозагрузки, включая самантек. Вместо этого там прописались userinit.exe и services.exe. Они также облюбовали стандартные папки
    c:\Documents and settings\Administrator
    c:\Documents and settings\user,
    c:\Documents and settings\user\local settings\temp
    и некоторые другие.
    Со всех известных мест их (кажется) удалось выкурить только после удаления (fix) подозрительного файла, обнаруженного HJ. Он был прописан как "C:/WINDOWS/system32/userinit.exe,..." - после запятой имя файла (не помню). Как описывают некоторые люди здесь (случайно нашел яндексом)
    http://www.cracklab.ru/f/forprint.php?topic_id=6500
    цитата с сайта: "C:/WINDOWS/system32/userinit.exe, так вот после запятой прописываем путь где находится трой..."

    После удаления файла, userinit в автозагрузку больше не лез. Сейчас там о нем "сидит" запись (в отключенном состоянии). Но интернетом по прежнему пользоваться чрезвычайно сложно - самантек постоянно сообщает, что svchost требует доступа в интрернет используя не опознанные модули. Тоже самое он сообщает если другие программы просятся в интренет, в том числе iexplorer.exe. Жаловался даже на собственный файл апдейта
    C:\Program Files\Symantec\LiveUpdate\LuComServer_2_5
    После обновления (вручную) баз, update который и без того expired, вообще накрылся и просит переустановки.

    Неоднократно заменял userinit.exe, services.exe, svchost.exe копируя со здоровой машины. Svchost по прежнему рвется в инет, а самантек предлагает не пускать. Если не пускать веб- страницы не загружаются.

    Вот тут нашел списки левых служб svchost http://www.softboard.ru/index.php?showtopic=51976
    При помощи Reanimator (от Greatis) у себя нашел 3:
    Browser
    LmHosts
    W32Time

    Самантек и доктор ничего не находят.
    Присоединяю логи.

    Заранее премного благодарен за помощь.
    Последний раз редактировалось EvgenyS; 18.07.2008 в 10:55.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
     DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=26510).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31
    Карантин выслал, логи прилагаю.
    Очень признателен за оперативный отклик.

    Буду ждать результатов.
    Последний раз редактировалось EvgenyS; 18.07.2008 в 10:55.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В карантине Trojan-Downloader.Win32.Agent.wbs

    Логи чистые. Проблема решена?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31
    Огромное спасибо.

    Но как быть блуждающим во тьме?
    Интернет работает, страницы грузятся, однако можно ли быть уверенным, что это именно от того, что было проведено лечение, а не то что изменены настройки Самантека и он просто больше не выдает сообщений?
    Очень не хотелось бы чтобы остатки троянов что-то отправляли "хозяину".
    Нортон и Доктор- то оказались слепы.
    Можно ли что-нибудь предпринять?

    и еще - не оч. понятно - в карантин пошли svchost и services, так они же при каждой загрузке в процессах сидят. Может они и сейчас инфицированы тоже?

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Обновляйте базы почаще.
    Ну и сами бдительность не теряйте.
    А панацеи, к сожалению, не существует.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31

    продолжение следует

    История все же продолжается...
    Самантек не перестал, и до сих пор сообщает что программы, пытающиеся войти в интренет используют неопознанные модули.
    При очередной попытке зайти на сайт virusinfo - сообщение что эксплорер выполнил недоп операцию и будет закрыт. Повторялось из раза в раз.

    Тогда был удален файл svchost.exe при помощи Реаниматора. Заменен на другой с чистой машины. Ситуация с эксплорером улучшилась однако самантек - все выдает сообщения и появились проблемы в системе: не загружается volume control в трэй и вообще нет звука. Плюс накрылся Wifi.
    По моему система не долечилась. Полный депрессняк!

    Присоединяю логи. Если чисты...тогда "можно вешаться" - как искать заразу?

    Если можно, посоветуйте пожалуйста - как восстановить функциональность системы? Точек восстановления нет + оно отключено.

    SOS!!!
    Последний раз редактировалось EvgenyS; 18.07.2008 в 10:55.

  9. #8
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31
    и еще только что обнаружил - беспроводное сетевое соединение не работает, но выдает подозрительную вещь

    беспр сет соед - отключить:

    "Невозможно отключить подключение в данный момент. Возможно, данное подключение использует один из протоколов, которые не поддерживают "Plug-and-Play" либо оно было инициировано другим пользвателем или системной учетной записью."

    Какая другая ? У меня то запись - по дефолту админ!

    Хелп!!!

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    ничего вредного не видно ... запущено просто куча всего , лишнего ....
    1 остановить потециально опасные службы
    2 лишний софт убрать ...

  11. #10
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31
    Ну хорошо, уповаю на экспертов... хотя AVZ одну длл-ку в карантин даже запустил для сохранности, чего раньше не делал. Видимо ложная тревога?

    А как отключить потенц опасные службы?
    Отключил вот одну... (svchost) теперь ни звука нет, ни интернета ..

    Не могли бы вы посоветовать как восстановить работоспособность компьютера ? - это же не нормально когда он только через динамик общается и при этом к интренету доступа нет (все таже ошибка). Включить восстановление системы он вообще не хочет - "ошибка восстановления системы при вкл/выкл одного или неск устройств. Перезагрузите компьютер и повторите попытку".
    Признаю, видимо что-то и сам испортил.

    По поводу софта - да, множество бесполезностей прилагалось, но сейчас с в трее кроме самантека, эл питания и глушеного интернет соединения ничего нет вообще. Или что-то еще работает из-под полы?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от EvgenyS Посмотреть сообщение
    Отключил вот одну... (svchost) теперь ни звука нет, ни интернета ..
    такой службы нет .... svchost.exe запускает два десятка служб ...(естественно все отключать нельзя)
    что и как вы пытались отключить ?

  13. #12
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31
    Запустил Reanimator (от Greatis) - бесплатная утилита поставляемая с RegRun http://www.greatis.com/security/
    Сам антивирус оч не понавился кстати.

    Далее- список запущенных служб - там отметил галкой службы
    Browser
    LmHosts
    W32Time
    FastUserSwitchingCompatibil

    все вызваны процессами svchost.exe и отмечены как ненужные на сайте softboard (ссылка выше)

    нажал "удалить службу (файл)"
    Видимо он кинулся вырывать с корнями все что знал о svchost.exe
    Последний раз редактировалось EvgenyS; 17.07.2008 в 09:56. Причина: Добавлено

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    ставте галку обратно .... у вас локальная сеть есть ?

  15. #14
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31
    Локальной сети нет...
    Есть здоровая машина.

    так что предпринять? или это уже за рамками местного форума?

    Добавлено через 4 часа 56 минут

    Хочу напомнить о себе. Можно ли что-нибудь посоветовать?

    (или если последние вопросы совсем не соответствуют форуму - сообщите.
    Ну наверное, и тему тогда можно закрыть).
    Последний раз редактировалось EvgenyS; 17.07.2008 в 15:22. Причина: Добавлено

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ....
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.
    ну и ферволл установите ....

  17. #16
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31
    Большое спасибо.
    Выполнил скрипты.
    Беспроводное соединие не настраивается - видимо не хватает еще каких-то служб. Но есть прогресс - оключить его стало можно. Кроме того не работает служба справки и поддержки. Volume control по прежнему в трей не загружается (видимо также не запущены службы).
    Нельзя ли похожим способом восстановить и эти службы?

    Windows еще службы криптографии спрашивала между делом.
    Последний раз редактировалось EvgenyS; 17.07.2008 в 18:55.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    авз - диспетчер служб и драйверов - службы сделайте лог и приложите ...

  19. #18
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31
    Вот протокол.
    Последний раз редактировалось EvgenyS; 18.07.2008 в 10:55.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    SetServiceStart('helpsvc', 2);
    SetServiceStart('CryptSvc', 2);
    SetServiceStart('Dhcp', 2);
    RebootWindows(true);
    end.

  21. #20
    Junior Member Репутация
    Регистрация
    22.06.2008
    Сообщений
    20
    Вес репутации
    31
    Все по старому: ни звука, ни соединения.
    По моему нет этих служб
    Windows Audio
    Беспроводная настройка

    и прочих
    или они вообще не могут быть запущены, в результате удаления.

    Службы справки и поддержки тоже нет.

    На всякий случай - новый протокол прилагаю.
    Последний раз редактировалось EvgenyS; 18.07.2008 в 10:55.

  • Уважаемый(ая) EvgenyS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 29.04.2012, 01:11
    2. Ответов: 2
      Последнее сообщение: 13.08.2011, 22:44
    3. Userinit, svchost, servies
      От DjPavel в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.04.2009, 21:55
    4. Зараженный winlogon, userinit, services
      От kamuri в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:25
    5. Спам боты и заражённые userinit and services
      От Ales K в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 06:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00747 seconds with 20 queries