Показано с 1 по 9 из 9.

service.exe и прочие (заявка № 28737)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.07.2008
    Сообщений
    81
    Вес репутации
    66

    Thumbs up service.exe и прочие

    Здравствуйте. Сегодня компьютер посетил вирус, пропущеный НОДом со спокойной совестью (из серии "Spyware detected on your system"). Был немного подлечен, однако потом продолжилось творится страшное. Процесс service.exe многократно размножался. После его убийства иногда всплывает в автозагрузке и при этом профиль не грузится. При правке автозагрузки и перезагрузке системы комп загружается и НОД сразу ругается на вирус Win32/Wigon в system32\drivers. Прошу помочь разобраться и исправить ситуацию.
    Примечание: логи были сделаны при удаленном подключении.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    А подключение из консоли к данной машине возможно? На время выполнения скриптов машину крайне желательно отключить от сети.
    Если возможно, то подключайтесь, на время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
    Пофиксите с помощью Hijackthis строку
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Ирина\Local Settings\Temp\loader.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
    DelWinlogonNotifyByFileName('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windh04.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Windh04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winna11.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winna11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winob48.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winob48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Mbh14.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Mbh14.sys');
     DeleteFile('C:\Documents and Settings\Ирина\Local Settings\Temp\loader.exe');
     BC_DeleteFile('C:\Documents and Settings\Ирина\Local Settings\Temp\loader.exe');
     DeleteService('Winob48');
     DeleteService('Winna11');
     DeleteService('Windh04');
     DeleteService('Mbh14');
     DeleteService('WZCSVCdmadmin');
     DeleteService('VSSRasAuto');
     DeleteService('RasManProtectedStorage');
     DeleteService('PolicyAgentRpcLocator');
     DeleteService('NetDDEdsdmlanmanserver');
     DeleteService('mnmsrvcPlugPlay');
     DeleteService('DnscacheNetman');
     DeleteService('ClipSrvwscsvc');
     DeleteService('BrowserEventlog');
     BC_DeleteSVC('Winob48');
     BC_DeleteSVC('Winna11');
     BC_DeleteSVC('Windh04');
     BC_DeleteSVC('Mbh14');
     BC_DeleteSVC('WZCSVCdmadmin');
     BC_DeleteSVC('VSSRasAuto');
     BC_DeleteSVC('RasManProtectedStorage');
     BC_DeleteSVC('PolicyAgentRpcLocator');
     BC_DeleteSVC('NetDDEdsdmlanmanserver');
     BC_DeleteSVC('mnmsrvcPlugPlay');
     BC_DeleteSVC('DnscacheNetman');
     BC_DeleteSVC('ClipSrvwscsvc');
     BC_DeleteSVC('BrowserEventlog');
     DeleteService('Windh04');
     BC_DeleteSVC('Windh04');
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=28737 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил. Логи крайне желательно тоже сделать из консольной сессии.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.07.2008
    Сообщений
    81
    Вес репутации
    66
    к сожалению, связь с зараженной машиной прервалась, поэтому все выполню завтра при непосредственном общении с оной, со всеми дополительными условиями. Прошу простить за задержку и немного подождать.

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.07.2008
    Сообщений
    81
    Вес репутации
    66
    Скрипты выполнены в соответствии с правилами (никакого удаленного доступа, непосредственно за зараженной машиной), карантин загружен, прилагаю новые логи. Покорнейше благодарю и жду дальнейших указаний
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Пропустили ваши логи, извините
    Пофиксите с помощью Hijackthis строки:
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelWinlogonNotifyByKeyName('WinCtrl32');
     deletefile('C:\Documents and Settings\Ирина\Рабочий стол\Дрова\рук карантин\Windh04.sys');
     BC_deletefile('C:\Documents and Settings\Ирина\Рабочий стол\Дрова\рук карантин\Windh04.sys');
     DeleteService('stisvcseclogon');
     DeleteService('SENSSENSupnphost');
     DeleteService('SENSSENS');
     DeleteService('lanmanserverRemoteAccess');
     DeleteService('BITSLmHosts');
     BC_DeleteSVC('stisvcseclogon');
     BC_DeleteSVC('SENSSENSupnphost');
     BC_DeleteSVC('SENSSENS');
     BC_DeleteSVC('lanmanserverRemoteAccess');
     BC_DeleteSVC('BITSLmHosts');
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки, повторите логи, начиная с п. 10 правил.

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.07.2008
    Сообщений
    81
    Вес репутации
    66
    все сделано. вот новые логи. жду заключения уважаемых специалистов
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    В логах чисто.
    Нужно поставить Сервис Пак 3. Возможно потребуется активация системы.
    Какие еще проблемы замечаете?

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.07.2008
    Сообщений
    81
    Вес репутации
    66
    Проблемы вроде все разрешились, SP3 попробую воткнуть в ближайшее время, да и НОД разочаровывает все больше и больше. Наверное придется заменить на какой нибудь более надежный продукт.
    В любом случае всем огромешное спасибо за помощь

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\ирина\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Mutant.ayq (DrWEB: Trojan.DownLoad.2077)
      2. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ays (DrWEB: Trojan.Packed.573)


  • Уважаемый(ая) makstor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Error 1923.Service Kaspersky Antivirus Service(AVP) could not be instatted. (заявка №35711)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 04.11.2010, 03:00
    2. service.log
      От Student412 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.12.2009, 01:39
    3. Bonjour service
      От apriori-aequitas в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.09.2009, 15:21
    4. ATK Keyboard Service
      От prosto_user в разделе Microsoft Windows
      Ответов: 4
      Последнее сообщение: 08.12.2007, 07:54
    5. Windows Workstation Service NetrWkstaUserEnum Denial of Service
      От Shu_b в разделе Уязвимости
      Ответов: 1
      Последнее сообщение: 28.12.2006, 15:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00922 seconds with 22 queries