Три дня назад появилась новая служба PGLLEWB. Прописалась в реестре 13,01.2010г. В этот же день у меня было автоматическое обновление Windows XP PRO. Что это за служба пока выяснить не могу.
Вот мои логи.
Три дня назад появилась новая служба PGLLEWB. Прописалась в реестре 13,01.2010г. В этот же день у меня было автоматическое обновление Windows XP PRO. Что это за служба пока выяснить не могу.
Вот мои логи.
Логи-то не положил
А где логи?
Угу, вижу
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Вложил
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\Installer\{B0255743-165B-4BD5-8DA8-37DFB993B201}\SecurityV2i1_A8EA8A55FDBE4875B598DDC15B298265.exe',''); BC_QrSvc('PGLLEWB'); QuarantineFile('PGLLEWB.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Выполнил Ваши скрипты и загрузил по указанному адресу два zip файла.
Жду дальнейших указаний
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
У меня есть там папка Qurantine и файл qurantine.zip, но ни файл, не заархивированную папку отправить не получается. Выходит собщение: Ошибка загрузки. Файл не является архивом с карантином AVZ!!
Добавлено через 4 минуты
Наконец-то отправил и папку и файл.
Последний раз редактировалось niknik; 16.01.2010 в 22:46. Причина: Добавлено
Угу, спасибо, подождем ответа аналитиков.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Выслал
Добавлено через 9 минут
Nikkollo
Эта служба включена в профиль оборудования. Вход в систему: “С системной учетной записью”, а так же стоит галочка “Разрешить взаимодействие с рабочим столом” Я ставлю эту службу на запрещение, но после перезагрузки она снова включена в “Profile 1” Хотя тип запуска этой службы стоит “Отключено” Мне бы узнать, что это за служба? Я бы все вычистил в реестре. А вдруг эта служба Майкрософт?
Последний раз редактировалось niknik; 16.01.2010 в 23:03. Причина: Добавлено
Служба в карантин не попала.
Второй файл в карантине чистый.
Попробуйте поискать на диске С файл PGLLEWB.sys согласно приложению 2 и 3 правил.
Если найдется - загрузите по красной ссылке вверху темы "Прислать запрошенный карантин".
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Добрый день Nikkollo.
Я уже искал его на всех дисках несколько раз, но бесполезно. В реестре тоже не мог обнаружить его пути. Все это странно, сделал свое грязное дело и исчез. Я проверялся вчера и сегодня многими антивирусами скачанными перед этим. Ничего не было найдено. Только что закончил проверку вот на этом сайте: http://onecare.live.com/site/ru-ru/default.htm#
Может мне почистить реестр от его следов?
Добрый день.
Насчет "грязного дела" я не уверен, т.к. мы его не заполучили и не проверили на зловредность.
На всякий случай советую сменить все свои пароли.
Тоесть сейчас такая служба больше не наблюдается?
Сделайте на всякий случай еще раз лог virusinfo_syscheck.zip и приложите в теме.
Насчет чистки реестра - что мы будем чистить, если поиском ничего не находится?
Попробуйте еще раз сделать поиск в реестре по слову PGLLEWB.
Если что-то найдется, пока не удаляйте, просто скажите где он находится в реестре.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
В реестре он прописан, но без определения его пути.
Вот я и хочу убрать все записи связанные с ним.
Можете показать записи в реестре, где он прописан?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Лог выполнял сейчас без отключений в реестре библиотек Avira, просто сделал ее не активным. Записей в реестре несколько. Постараюсь выложить позднее
Выложил, но не все
Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Почистил реестр, правда, некоторые ветки чистил с особыми разрешениями. Служба PGLLEWB пропала. Можно ли приводить систему с полной защитой и восстановлением?
Жду Вашего ответа.
Добавлено через 1 минуту
Хорошо, сейчас будет.
Последний раз редактировалось niknik; 17.01.2010 в 17:28. Причина: Добавлено
Выложил Gmer.log
Уважаемый(ая) niknik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.