C:\WINDOWS\services.exe заражён...

[LoMo]

Доброго времени суток. Не успел я ещё поставить SP3... так что у меня пока всё теже проблемы надеюсь на вашу помощь... вопщем сегодня с утра стало происходить странные весчи при загрузке компьютера автоматически грузиться очень много процессов "cmd.exe,services.exe,netsh.exe" и закрывая их они восстанавливаются... но не все они закрываются... services.exe выдает, что не может быть завершен, так как это критический системный процесс ... а Касперским я проверял систему - он нечего не видит подозрительного... то есть как, по его мнению - вирусов нет... логи прикладываю...

[wise-wistful]

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Как то не совсем актуально.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\services.exe');
 QuarantineFile('c:\windows\services.exe','');
 DeleteFile('c:\windows\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=31098

Повторите логи.

[LoMo]

Спасибо... логи прикрепляю... карантин выслал...

[Гриша]

В логах чисто, жалобы есть?

[LoMo]

Гриша, жалоб нету... тока смущает одно... когда авз проверял, то он писал что:
Анализатор - изучается процесс 320 C:\WINDOWS\services.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
[ES]:Предположительно может модифицировать параметры Firewall и безопасности
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

То есть мне лучше переустановить оут пост... или не стоит...?

[Гриша]

Это вы проверяли до скрипта или после?

[LoMo]

Гриша, до скрипта... после уже не осталось вируса (или что там было) и это соответственно авз не выдавал... просто скрипт же не вернул назад настройки оут поста ( если они были изменены) и безопасности ? или я ошибаюсь...

[Rene-gad]

процесс 320 C:\WINDOWS\services.exe
.....
[ES]:Предположительно может модифицировать параметры Firewall и безопасности

Если файл удален и процесс не существует, кто по-вашему еще должен мочь модифицировать настройки Аутпоста?

[LoMo]

Если файл удален и процесс не существует, кто по-вашему еще должен мочь модифицировать настройки Аутпоста?

просто он мог до этого ( когда был на компьютере) изменить настройки и с удалением они не вернулись назад... к примеру... просто просматривать все правила для приложений... займёт длительное время... ладно... переустановлю на всякий случай... спокойнее будет

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\services.exe - Email-Worm.Win32.Joleee.aj (DrWEB: Trojan.Spambot.3531)