Показано с 1 по 7 из 7.

Куча левых служб + некорректное выключение ПК (заявка № 76796)

  1. #1
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    55

    Thumbs down Куча левых служб + некорректное выключение ПК

    При поступлении пациента на диагностику присутствовали зловреды детектируемые Вебом и (после замены) Авирой, но не удалялись. После выполнения скрипта №3 АВЗ вирусы не детектируются, но выявились другие проблемы: некорректно выключается - выгружается експлорер и все, только обои висят; неактивный пункт контекстного меню "вставить".

    Второй лог АВЗ прикрепить не могу, скрипт №2 зависает на №7 Эвристическая проверка системы: поиск Проверка редактора реестра. Полиморфный АВЗ виснет при обновлении баз.

    Прикрепленный лог HJT получил ДО выполнения скрипта №3 АВЗ, после скрипта Хайджек виснет на сканировании О4. При сканировании HJT не удалось пофиксить следующие службы и компоненты: O23 - Service: fewa (fwrefwe3) - Корпорация Майкрософт - (no file); O23 - Service: rsr (vfsd) - Unknown owner - C:\WINDOWS\system32\WMDLFFOH8B\J002.exe (file missing); O24 - Desktop Component 0: (no name) - (no file).

    Системная утилита MSCONFIG виснет при попытке отключить левей службы, среди них особенно удивили две: "rwcsuhdЙ" издатель "Microsoft Corporation" (!) и "Storm DDOS soft Service" (!!!) довольно наглые и циничные зловреды

    Прошу помощи с этим зомби-ПК
    Последний раз редактировалось ГитКЗ; 26.10.2010 в 13:30.
    Мой внутренний мир настолько огромен, что Я давно там заблудился...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('LMS03AB-B707-11d2-9CBD-0000F87A369E');
     QuarantineFile('C:\WINDOWS\Ie(1).Exe','');
     QuarantineFile('C:\Program Files\Microsoft Office\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\yQsXxDTBYg.dll','');
     QuarantineFile('C:\WINDOWS\system32\nt6to4.dll','');
     QuarantineFile('C:\WINDOWS\system32\WMDLFFOH8B\J002.exe','');
     DeleteService('vfsd');
     DeleteService('test1');
     DeleteService('panp');
     QuarantineFile('C:\WINDOWS\system32\panp.exe','');
     QuarantineFile('fwrefwe3.sys','');
     DeleteService('fwrefwe3');
     DeleteService('vsr');
     QuarantineFile('C:\WINDOWS\system32\QWM0DMCCE2\eoo1.exe','');
     QuarantineFile('C:\WINDOWS\system32\szace.exe','');
     DeleteService('szace');
     QuarantineFile('C:\WINDOWS\system32\379593.exe','');
     DeleteService('Storm DDOS Service');
     QuarantineFile('C:\WINDOWS\gsfd.exe','');
     QuarantineFile('C:\WINDOWS\system32\nahvay.exe','');
     QuarantineFile('C:\WINDOWS\system32\iiwsic.exe','');
     DeleteService('Nationaluaa');
     DeleteService('Klerter');
     DeleteService('bhhn');
     DeleteService('frrd');
     QuarantineFile('c:\windows\system32\prptsvstart.dll','');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
     QuarantineFile('c:\program files\microsoft office\svchost.exe','');
     QuarantineFile('c:\program files\internet explorer\svchost.exe','');
     QuarantineFile('c:\windows\temp\opec.exe','');
     QuarantineFile('c:\windows\temp\ope8.exe','');
     QuarantineFile('c:\windows\temp\ope10.exe','');
     QuarantineFile('c:\windows\system32\q3h5fxinqx\b7878.exe','');
     DeleteFile('c:\windows\system32\q3h5fxinqx\b7878.exe');
     DeleteFile('c:\windows\temp\ope10.exe');
     DeleteFile('c:\windows\temp\ope8.exe');
     DeleteFile('c:\windows\temp\opec.exe');
     DeleteFile('c:\program files\internet explorer\svchost.exe');
     DeleteFile('c:\program files\microsoft office\svchost.exe');
     DeleteFile('C:\WINDOWS\TEMP\ope10.exe');
     DeleteFile('C:\WINDOWS\TEMP\ope8.exe');
     DeleteFile('C:\WINDOWS\TEMP\opeA.exe');
     DeleteFile('C:\WINDOWS\TEMP\opeC.exe');
     DeleteFile('C:\WINDOWS\system32\Q3H5FXINQX\B7878.exe');
     DeleteFile('c:\windows\system32\prptsvstart.dll');
     DeleteFile('C:\WINDOWS\gsfd.exe');
     DeleteFile('C:\WINDOWS\system32\nahvay.exe');
     DeleteFile('C:\WINDOWS\system32\iiwsic.exe');
     DeleteFile('C:\WINDOWS\system32\379593.exe');
     DeleteFile('C:\WINDOWS\system32\szace.exe');
     DeleteFile('C:\WINDOWS\system32\QWM0DMCCE2\eoo1.exe');
     DeleteFile('fwrefwe3.sys');
     DeleteFile('C:\WINDOWS\system32\panp.exe');
     DeleteFile('test1.sys');
     DeleteFile('C:\WINDOWS\system32\WMDLFFOH8B\J002.exe');
     DeleteFile('C:\WINDOWS\system32\nt6to4.dll');
     DeleteFile('C:\WINDOWS\system32\yQsXxDTBYg.dll');
     DeleteFile('C:\Program Files\Microsoft Office\svchost.exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CXAFK16N\dl[1].ocx');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CXAFK16N\zj[1].exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\eoo1[2].exe');
     DeleteFile('C:\WINDOWS\Ie(1).Exe');
     DeleteFile('C:\WINDOWS\system32\Q3H5FXINQX\eoo1.exe');
     DeleteFile('C:\WINDOWS\system32\R7VIMEN7WE\eoo1.exe');
     DeleteFile('C:\WINDOWS\system32\RMK8RP2M32\eoo1.exe');
     DeleteFile('C:\WINDOWS\Temp\1593375.exe');
     DeleteFile('C:\WINDOWS\Temp\987656.exe');
     DeleteFile('C:\WINDOWS\Temp\ope11.exe');
     DeleteFile('C:\WINDOWS\Temp\ope9.exe');
     DeleteFile('C:\WINDOWS\Temp\opeB.exe');
     DeleteFile('C:\WINDOWS\Temp\opeD.exe');
     DeleteFile('C:\WINDOWS\system32\47.scr');
     DeleteFile('C:\WINDOWS\system32\85.scr');
     DeleteFile('C:\WINDOWS\system32\28.scr');
     DeleteFile('C:\WINDOWS\system32\67.scr');
     DeleteFile('C:\WINDOWS\system32\03.scr');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    скачайте заново авз и повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    55
    V_Bond, AVZ виснет (как обычный, так и полиморф) при выполнении скрипта на пункте:
    1.5 Проверка обработчиков IRP
    Проверка завершена
    [микропрограмма лечения]>Удален элемент Active Setup

    глюк со вставкой из буфера пропал, зато после попытки выполнить скрипт появились новые: временами не удается запустить диспетчер задач, и ркгается при запуске исполняемых файлов "Отказано в доступе к указанному устройству, пути или файлу. Возможно у вас нет нужных прав доступа к этому объекту"

    + HJZ все таки смог просканировать до конца, лог на всякий случай прикрепляю, но в последующие разы так же виснет на О4, на строке с загрузкой языковой панели.
    Последний раз редактировалось ГитКЗ; 26.10.2010 в 13:30.
    Мой внутренний мир настолько огромен, что Я давно там заблудился...

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    55
    thyrex, ComboFix работать адекватно отказывается, самостоятельно не желает даже запускаться, проходит прогресс-бар, доходит до соглашения о использовании и все, больше ничег оне происходит, только процессы в диспетчере висят. После долгих плясок с бубном вокруг процессов удалось его запустить, но все равно, после прохождения всех стадий, началось удаление файлов, и так на нем и повисло (на удалении папки C:\ProgramFiles\StormII)

    вот меня интересует такой вопрос, не может ли Авира как то влиять на работу лечащих утилит?
    Мой внутренний мир настолько огромен, что Я давно там заблудился...

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение.
    Выполняли перед запуском ComboFix?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    16.03.2009
    Адрес
    Уральск, Казахстан
    Сообщений
    92
    Вес репутации
    55
    thyrex, да, конечно, единственно что смущает, полностью выгрузить Авиру не удалось, только деактивировал защиту, сейчас попробую снести Авиру и запустить еще раз.

    Добавлено через 46 минут

    Спасибо всем за помощь, но клиент требует скорее свой комп назад, придется сносить систему Тему можно закрывать.
    Последний раз редактировалось ГитКЗ; 24.04.2010 в 09:28. Причина: Добавлено
    Мой внутренний мир настолько огромен, что Я давно там заблудился...

  • Уважаемый(ая) ГитКЗ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 16.03.2012, 15:55
    2. Много "левых" служб
      От GRomaN в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.06.2010, 19:29
    3. Отключение служб Windows...
      От Western в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 26.09.2009, 19:17
    4. Ответов: 4
      Последнее сообщение: 07.05.2009, 19:25

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00668 seconds with 19 queries