-
Junior Member
- Вес репутации
- 51
SERVICES.EXE бомбит популярные сайты
Доброго времени суток, господа специалисты! Честно скажу - очень редко обращался за помощью по поводу вирей, ибо стерильность компа - моя шиза и я сам всё прекрасно чистил. Однако в этот раз я запустил рабочий комп, так как использовал долгое время ноутбук, и обнаружил что мой SERVICES.EXE ведёт себя наглым образом - при подключении к интернету начинает усиленно ДДОСить сайты:
google.com
yahoo.com
wikipedia.org
slashdot.org
aol.com
microsoft.com
youtube.com...
...ну и так далее. Спустя какое-то время, приблизительно раз в час, начал долбиться на тонну спамосайтов, названия которых я даже перечислить не смогу и больше всего запросов идёт на
Код:
Block activity for application SERVICES.EXE SERVICES.EXE rev.opentransfer.com.*рандомноеайпи*.in-addr.arpa n/a Unknown TCP
Сам SERVICES.EXE вроде жив-здоров, изменений в нём не производилось... Во всяком случае об этом говорят дата изменения и копирайты мелокософта, посему рискну предположить что это какая-то левая зараза его использует.
До обращения сюда проверялся ДрВебом с последними базами - нашел в папке автозагрузки запрятаный "wwwzuc32.exe" и в папке system32 нашёл "drwat32.exe" - всё изничтожил, однако безобразия не прекратились - думаю, не в них дело...
Пока удалось анально огородить запросы фаерволом, но всётаки хотелось бы стерильности... Поможете?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Executerepair(1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 51
shapel,
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drwat32.exe',' ');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
Сделал, но смысла в этом не было, так как я уже говорил - файл мною успешно грохнут, разве что ключик остался. Посему в карантине файлы тоже нулевого размера. Лог ГМЕРа приаттачиваю.
Что, собстно, удалось найти ещё:
- Файломоном удалось обнаружить что в c:\WINDOWS\system32\drivers\ каждую секунду обновляется драйвер "gghden.sys" (вес 755200 байт) - ни убить, ни положить в карантин в нормальном режиме низя - если надо - выловлю в безопасном.
- Есть большое подозрение на ЭТОТ руткит.
Any ideas?
-
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится rrhnvu0m.exe случайное имя утилиты (gmer)
Код:
rrhnvu0m.exe -del service gghden
rrhnvu0m.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gghden"
rrhnvu0m.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gghden"
rrhnvu0m.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 51
shapel,
Увы! Эти ключи анально огорожены от действий кого бы то ни было по неизвестной причине. ГМЕР ругается что не может их удалить ("Не найден указаный модуль"), а ручками данный раздел реестра даже открыть не получается - "Ошибка открытия раздела". Весёлая вирусня! XD
-
C:\WINDOWS\system32\drivers\gghden.sys - файл поищите и попробуйте его куда-нибудь скопировать, если получится сделать, то позже пришлите его по правилам.
попробуйте так, Сохраните текст ниже как cleanup.bat в ту же папку, где находится rrhnvu0m.exe (gmer)
Код:
rrhnvu0m.exe -del service gghden
rrhnvu0m.exe -del file "C:\WINDOWS\system32\drivers\gghden.sys"
rrhnvu0m.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gghden"
rrhnvu0m.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gghden"
rrhnvu0m.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
-
-
Junior Member
- Вес репутации
- 51
Вообщем всё, всем спасибо - проблема решена. Причину вы указали верную, но ни ГМЕР, ни какой-либо другой антивирь с ней нормально не справится. Вот лицо нашего врага - "Trojan.WinSpy.713" по версии Dr.Web. Увидеть и удалить он эту штуку не мог, потому как она каждую секунду обновлялась. В безопасном режиме тоже самое, поэтому я пошёл по пути наименьшего сопротивления - подрубил винт к ноуту и грохнул его - тут то Доктор и завизжал ^^.
Короче, панацея:
- Загрузиццо с ЛайвЦД, грохнуть файл "c:\WINDOWS\SYSTEM32\drivers\gghden.sys"
- Перезагрузиццо
- Удалить ключ "HKLM\SYSTEM\CurrentControlSet\Services\gghden "
- Удалить ключ "HKLM\SYSTEM\ControlSet002\Services\gghden"
- ???
- PROFIT!
З.Ы. - Сувенир на память высылаю по правилам
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\black ace\рабочий стол\avz4\gghden.sys - Rootkit.Win32.Bubnix.s ( DrWEB: Trojan.WinSpy.713, BitDefender: Backdoor.Generic.351368, AVAST4: Win32:Rootkit-gen [Rtk] )
-