Показано с 1 по 14 из 14.

Диспетчер задач + Службы терминалов и прочее... (заявка № 31002)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2008
    Сообщений
    7
    Вес репутации
    57

    Диспетчер задач + Службы терминалов и прочее...

    Здравствуйте.
    Началось все с вторника (около того), я оставил комп на ночь, чтобы сжать кое-какие файлы, на утро я увидил, что произошла ошибка Generic Host Proccess for Win32 Services и как обычно две кнопки отправить и не отправлять. После этого все встало.Потом я заметил, что пропали имена пользователей рядом с процессами в "Диспетчере задач", решил проверить службы и увидил, что "Службы терминалов" выключенны, попробывал запустить, на что получил ответ "Cлyжбa "Cлyжбы тepминaлoв" нa "Лoкaльный кoмпьютep" былa зaпyщeнa и зaтeм ocтaнoвлeнa. Heкoтopыe cлyжбы aвтoмaтичecки ocтaнaвливaютcя, ecли им нeчeгo дeлaть, нaпpимep, cлyжбa жypнaлoв и oпoвeщeний пpoизвoдитeльнocти."
    Сразу понял что-то не то происходит. Решил установить Pand'у, но после перезагрузки выдал ошибку "Невозможно прочитать память и ....". Потом появлялось окно с отсчетом времени с перезагрузкой (как это бывает если завершить svchost.exe). Даже в Безапасном режиме тоже самое было. После я запустил систему с последней точкой правильной работы системы. Удалил панду и поставил НОД32 и обновил базу, нашел червяк и пару троянов, все удалил, но всеравно имена возле процессов не появлялись и не удавалось вкл. службу терминалов. Дальше история продолжается, на следующий день svchost.exe стал грузить процессор на 100% и комп начал подвисать на некоторе время. Когда я завершал процесс нода32 тоже вис причем сразу. Удалил, нод32 все стало как прежде, но проблему с терминалом не решило.
    Маленькое отступление: также я заметил, что пересатли работать STEAM игры и винамп, выдавая сообщение, что произошла ошибка, как и с Generic Host Proccess for Win32 Services. Только при выключении службы "Инcтpyмeнтapий yпpaвлeния Windows" они запускались. Дальше я удалил нод32 и поставил KAV последний (пробную версию) в ходе проверки антивирус обнаружил, что файл hosts - Host.Vulnerability и вылечил его, но при каждом новом входе в Виндовс он повторяет тоже самое и файл тот весит 8кб (в нем написаны адресса антивирусных сайтов). Дальше я решил обновится у Билла , т.к. Виндовс не лицензионный, пришлось сделать его таким))) Скачал обновелние SP3 около 65мб, установил перезагрузился и о чудо появились возле с процессами имена польз. и "служба заработала", дальше я решил еще обновится у того же Билла и закрыть другие уязвимости (около 36 штук).Установил и перезагрузился. После чего опять пропали имена ползователей и служба терминалов выдает тоже самое, что и раньше.
    -------------------
    Теперь даже незнаю, что и придумать есть идея поставить KIS и им проверить. А так вот файлы из AVZ и HijackThis
    -----------------
    Файл virusinfo_cure.zip оказался большим и не крепился к сообщению залил на народ: скачать
    ---------------
    PS: Также заметно уменьшилась скорость инета.
    PS2: Зарание спасибо

    Добавлено через 5 минут

    Что-то не удалось вложить файлы в первый пост
    Последний раз редактировалось Xeo; 27.09.2008 в 01:55. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Попробуйте приложить логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2008
    Сообщений
    7
    Вес репутации
    57
    Вроде прикрепились , кроме файла virusinfo_cure.zip он весит 1,12мб и не влезает.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Xeo Посмотреть сообщение
    кроме файла virusinfo_cure.zip он весит 1,12мб и не влезает.
    Прочитайте в правилах какие файлы нужно прикреплять.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\twext.exe','');
     QuarantineFile('C:\WINDOWS\system32\nvyss.dll','');
     QuarantineFile('C:\Program Files\Win\Default\lexplorer.exe','');
     DeleteFile('C:\WINDOWS\system32\twext.exe');
     DeleteFile('C:\WINDOWS\system32\nvyss.dll');
     DeleteFile('C:\Program Files\Win\Default\lexplorer.exe');
     DeleteFile('C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll');
     DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
     DelBHO('{bf00e119-21a3-4fd1-b178-3b8537e75c92}');
     DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 27.09.2008 в 15:13.

  6. #5
    Junior Member Репутация
    Регистрация
    25.09.2008
    Сообщений
    7
    Вес репутации
    57
    Выполнил скрипт с сделал логи и отправил файлы из карантина. В диспетчере появились имена пользователей рядом с процессами и служба терминалов заработала .
    Осталось одна проблема, которую так и не удалось решить с падением STEAM игр и Winamp'ом (который сначала не падал, первыми были STEAM игры). Помогает только отключение службы "Инcтpyмeнтapий yпpaвлeния Windows", но я незнаю как это сказывается на работе других приложений в том числе и инета, т.к. брандурмейкер виндовский не пашет (хотя я его и так выключаю).

    Файл сохранён как 080927_083557_virus_48de36bda394e.zip
    Размер файла 1633482
    MD5 18ebfd52a727171f8fe78294dfa6d648
    Вложения Вложения
    Последний раз редактировалось Xeo; 27.09.2008 в 17:36.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    логи переделать в нормальном режиме .... как положено

  8. #7
    Junior Member Репутация
    Регистрация
    25.09.2008
    Сообщений
    7
    Вес репутации
    57
    Сделал логи в нормальном режиме, был найден руткит Kist...
    -----------
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Xeo Посмотреть сообщение
    Сделал логи в нормальном режиме, был найден руткит Kist...
    Читайте предложение громко вслух
    !!! Внимание !!! Восстановлено 41 функций KiST в ходе работы антируткита
    -Пофиксите
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
    Больше ничего плохого не видно.
    Проблема решена?
    Последний раз редактировалось Rene-gad; 27.09.2008 в 19:32.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите
    Код:
    R3 - URLSearchHook: (no name) - - (no file)
    O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.58 85.255.112.224
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0C1E646A-3D47-4F1E-A990-354EFE8760DF}: NameServer = 85.255.115.58,85.255.112.224
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.58 85.255.112.224
    O17 - HKLM\System\CS3\Services\Tcpip\..\{0C1E646A-3D47-4F1E-A990-354EFE8760DF}: NameServer = 85.255.115.58,85.255.112.224
    hijackthis.log повторите

  11. #10
    Junior Member Репутация
    Регистрация
    25.09.2008
    Сообщений
    7
    Вес репутации
    57
    Но проблема не решена с падением STEAM игр и Winamp'ом (который сначала не падал, первыми были STEAM игры). Помогает только отключение службы "Инcтpyмeнтapий yпpaвлeния Windows". Еще заметил комп не перезагружается сам, а просто висит при надписи сохранение параметров, только мышка с тормозами двигается... Также смущают строки в AVZ :
    Функция NtReplaceKey (C1) перехвачена (8064F0FA->B503DC12), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    При проверки...

  12. #11
    Junior Member Репутация
    Регистрация
    25.09.2008
    Сообщений
    7
    Вес репутации
    57
    Цитата Сообщение от V_Bond Посмотреть сообщение
    пофиксите
    Код:
    R3 - URLSearchHook: (no name) - - (no file)
    O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.58 85.255.112.224
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0C1E646A-3D47-4F1E-A990-354EFE8760DF}: NameServer = 85.255.115.58,85.255.112.224
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.58 85.255.112.224
    O17 - HKLM\System\CS3\Services\Tcpip\..\{0C1E646A-3D47-4F1E-A990-354EFE8760DF}: NameServer = 85.255.115.58,85.255.112.224
    hijackthis.log повторите
    лог
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах ничего подозрительного
    klif.sys - драйвер касперского ...

  14. #13
    Junior Member Репутация
    Регистрация
    25.09.2008
    Сообщений
    7
    Вес репутации
    57
    Видимо придется выключить службу "Инcтpyмeнтapий yпpaвлeния Windows" больше никак

    Добавлено через 2 часа 38 минут

    Все заработало даже со службой. Пришлось поковырятся, чтобы все нормально работало. Большое спасибо за помощь! Как денежка будет поддержу проект...спасибо еще раз.
    Последний раз редактировалось Xeo; 27.09.2008 в 22:40. Причина: Добавлено

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 27
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\twext.exe - Trojan-Downloader.Win32.Agent.ahxw (DrWEB: Trojan.PWS.Panda.19)


  • Уважаемый(ая) Xeo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 14.09.2010, 16:44
    2. Ответов: 6
      Последнее сообщение: 09.09.2010, 00:04
    3. Ответов: 4
      Последнее сообщение: 31.01.2010, 21:31
    4. Ответов: 4
      Последнее сообщение: 30.12.2009, 16:40
    5. SAV 8.х-10.х удаляет библиотеку службы терминалов
      От barakamer в разделе Ложные срабатывания
      Ответов: 3
      Последнее сообщение: 10.09.2009, 12:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00113 seconds with 20 queries