Плодятся процессы cmd.exe и services.exe :(

**Амстердам** · 06.03.2009, 18:43

Плюс к сабжу постоянно выползают ошибки различных странных процессов.
Ну и судя по логам, там еще много интересного(
Помогите пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 06.03.2009, 18:47

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 DelBHO('{7E3EDD51-48FD-40F2-ACE4-0D2D9F2889AE}');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\wxilib.dll','');
 QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
 QuarantineFile('C:\WINDOWS\system32\msctpp.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\vtmini.sys','');
 DeleteService('weiagg');
 QuarantineFile('C:\WINDOWS\system32\drivers\syirsuzyyr.sys','');
 DeleteService('saywsf');
 QuarantineFile('C:\WINDOWS\system32\drivers\pnmiippf.sys','');
 DeleteService('dvpmszwjkom');
 QuarantineFile('C:\WINDOWS\system32\drivers\xroml.sys','');
 DeleteService('PowerManager');
 QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
 QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
 QuarantineFile('C:\Program Files\Common Files\WebMoney Keeper\WMClient67.dll','');
 QuarantineFile('c:\windows\services.exe','');
 TerminateProcessByName('c:\windows\services.exe');
 DeleteFile('c:\windows\services.exe');
 DeleteFile('C:\WINDOWS\system32\amvo0.dll');
 DeleteFile('C:\WINDOWS\system32\wincab.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\xroml.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\pnmiippf.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\syirsuzyyr.sys');
 DeleteFile('C:\WINDOWS\system32\digeste.dll');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\msctpp.dll');
 DeleteFile('C:\WINDOWS\system32\chknt32.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\wxilib.dll');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**Амстердам** · 06.03.2009, 19:32

готово )

**Alex Plutoff** · 06.03.2009, 21:23

- жалобы остались?..

**Амстердам** · 06.03.2009, 21:35

да в общем нет. а разве в логах все чисто?

**Гриша** · 06.03.2009, 22:02

Ваши DNS?

Код:

85.255.114.75 85.255.112.212

Если нет, то Пофиксить

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Common Files\WebMoney Keeper\WMClient02.dll');
 DeleteFile('digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);    
RebootWindows(true);
end.

Повторите логи...

**Амстердам** · 06.03.2009, 22:19

мои.
после выполнения скрипта и ребута появилось неизвестное устройство "другого" типа. Драйвера для него, соответственно, автоматом не находятся.
Логи щас выложу.

**Гриша** · 06.03.2009, 22:22

В Диспетчере оборудования прибейте девайс под знаком вопроса...

**Амстердам** · 06.03.2009, 22:36

угу, сделано

**Гриша** · 06.03.2009, 22:38

В логах чисто, установите SP3+all updates...

**Амстердам** · 06.03.2009, 22:40

Спасибо большое )
А что из антивирей дельного посоветуете? А то я честно говоря, только общее представление имею.

**Гриша** · 06.03.2009, 22:41

http://www.kaspersky.ru/kaspersky_internet_security

**Амстердам** · 06.03.2009, 22:44

о да )
спасибо еше раз )

**Гриша** · 06.03.2009, 22:52

о да )

Отличная защита за копейки

**CyberHelper** · 07.03.2009, 22:52

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 12
В ходе лечения обнаружены вредоносные программы:
1. c:\autorun.inf - Trojan-GameThief.Win32.OnLineGames.rry( DrWEB: Win32.HLLW.Autoruner.1408, BitDefender: Trojan.AutorunINF.Gen )
2. c:\documents and settings\all users\application data\wxilib.dll - Trojan-Ransom.Win32.Hexzone.grr( DrWEB: Trojan.Blackmailer.832, BitDefender: Trojan.Generic.1401726 )
3. c:\windows\services.exe - Packed.Win32.Krap.i( BitDefender: Backdoor.Bot.88877 )
4. c:\windows\system32\chknt32.exe - Trojan-Spy.Win32.BZub.fxc
5. c:\windows\system32\msctpp.dll - Worm.Win32.AutoRun.ojp( DrWEB: Win32.HLLW.Autoruner.2799, BitDefender: Worm.Generic.35763 )
6. c:\windows\system32\ntos.exe - Trojan-Spy.Win32.Zbot.mcc( DrWEB: Trojan.PWS.Panda.100, BitDefender: Trojan.Spy.Zeus.E )
7. d:\autorun.inf - Trojan-GameThief.Win32.OnLineGames.rry( DrWEB: Win32.HLLW.Autoruner.1408, BitDefender: Trojan.AutorunINF.Gen )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Плодятся процессы cmd.exe и services.exe :( (заявка № 41152)

Опции темы

Плодятся процессы cmd.exe и services.exe :(

Итог лечения

Похожие темы

После загрузки win сервера 2003 плодятся процессы rundll32.exe, загрузка проц 100%

Плодятся процессы rundll32.exe

Процессы cmd.exe и services.exe размножаются

Процессы cmd.exe, netsh и services

Плодятся процессы cmd и services

Ваши права в разделе