-
Junior Member
- Вес репутации
- 51
Services.exe код 128
Добрый день!
ОС - Win2003 Server R2 SP2+все патчи
При входе в систему вылетает окошко с ошибкой "Неожиданно завершен системный процесс "C:\WINDOWS\system32\services.exe" с кодом состояния 128. Будет произведена перезагрузка системы." и все приложения зависают. При отключеном интернете никаких проблем не возникает, но стоит его подключить, сразу выскакивает отсчет до перезагрузки. Все сделал по вашей инструкции, Dr. Web нашел 2 вируса и удалил их, AVZ ничего не нашел. Проблема осталась.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\documents and settings\lame\application data\sdra64.exe,C:\WINDOWS\system32\6983df75.exe,\\?\globalroot\systemroot\system32\ld7uznX.exe,
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\dns.exe','');
QuarantineFile('C:\WINDOWS\system32\udcpm.dll','');
QuarantineFile('\\10.20.100.200\consultant\cons.exe','');
QuarantineFile('c:\documents and settings\lame\application data\sdra64.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\ld7uznX.exe','');
QuarantineFile('F:\_my\_soft\winscp\winscp417.exe','');
QuarantineFile('C:\WINDOWS\System32\ntmsevt','');
QuarantineFile('C:\WINDOWS\system32\6983df75.exe','');
DeleteFile('C:\WINDOWS\system32\6983df75.exe');
DeleteFile('\\?\globalroot\systemroot\system32\ld7uznX.exe');
DeleteFile('c:\documents and settings\lame\application data\sdra64.exe');
DelAutorunByFileName('c:\documents and settings\lame\application data\sdra64.exe');
DelAutorunByFileName('\\?\globalroot\systemroot\system32\ld7uznX.exe');
DelAutorunByFileName('C:\WINDOWS\system32\6983df75.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
FieryAds - Адваре, лучше удалить, можно так -
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\lame\APPLIC~1\FieryAds\FieryAds.dll','');
DeleteFile('C:\DOCUME~1\lame\APPLIC~1\FieryAds\FieryAds.dll');
DelBHO('6D125299-C2A9-4DBC-BEC3-6F7124E39A41');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 51
Выполнил все инструкции, компьютер перестал перезагружаться. Спасибо. Файлы quarantine.zip и quarantine2.zip приложил. Ниже прилагаю логи.
-
Поймали мы с Вами негодяев, отчитываюсь - C:\WINDOWS\system32\6983df75.exe - HEUR:Backdoor.Win32.Generic
\\?\globalroot\systemroot\system32\ld7uznX.exe - Backdoor.Win32.Shiz.jw
Выполните продецуру, описанную в первом сообщении этой темы - http://virusinfo.info/showthread.php?t=3519, ссылку на результат приложите сюда.
-
-
Junior Member
- Вес репутации
- 51
Выложил лог, с именем - 100709_123629_virusinfo_files_PRM-038_4c36df8d38136.zip. Спасибо огромное!
http://virusinfo.info/showpost.php?p...postcount=7844
-
Пожалуйста, мы тут для этого. Отчёт нашего робота -
Архив 100709_123629_virusinfo_files_PRM-038_4c36df8d38136.zip, загружен 09.07.2010 12:40:25, размер 23009092 байт
Всего файлов: 22 (исполняемых 22), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 4
В очереди на добавление в базу безопасных:
высокий приоритет: 9
обычный приоритет: 9
Жалобы у Вас есть какие-нибудь?
-
-
Junior Member
- Вес репутации
- 51
Нет, жалоб никаких нету
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\6983df75.exe - Backdoor.Win32.Shiz.ke ( DrWEB: BackDoor.Siggen.25443, AVAST4: Win32:Rootkit-gen [Rtk] )
- \\?\globalroot\systemroot\system32\ld7uznx.exe - Backdoor.Win32.Shiz.jw ( DrWEB: Trojan.PWS.Ibank.53 )
-