Services.exe код 128

**aleksey_k** · 09.07.2010, 10:47

Добрый день!
ОС - Win2003 Server R2 SP2+все патчи

При входе в систему вылетает окошко с ошибкой "Неожиданно завершен системный процесс "C:\WINDOWS\system32\services.exe" с кодом состояния 128. Будет произведена перезагрузка системы." и все приложения зависают. При отключеном интернете никаких проблем не возникает, но стоит его подключить, сразу выскакивает отсчет до перезагрузки. Все сделал по вашей инструкции, Dr. Web нашел 2 вируса и удалил их, AVZ ничего не нашел. Проблема осталась.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 09.07.2010, 11:21

Здравствуйте -

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\documents and settings\lame\application data\sdra64.exe,C:\WINDOWS\system32\6983df75.exe,\\?\globalroot\systemroot\system32\ld7uznX.exe,

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\dns.exe','');
 QuarantineFile('C:\WINDOWS\system32\udcpm.dll','');  
 QuarantineFile('\\10.20.100.200\consultant\cons.exe','');
 QuarantineFile('c:\documents and settings\lame\application data\sdra64.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\ld7uznX.exe','');
 QuarantineFile('F:\_my\_soft\winscp\winscp417.exe','');
 QuarantineFile('C:\WINDOWS\System32\ntmsevt','');
 QuarantineFile('C:\WINDOWS\system32\6983df75.exe','');
 DeleteFile('C:\WINDOWS\system32\6983df75.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ld7uznX.exe');
 DeleteFile('c:\documents and settings\lame\application data\sdra64.exe');  
 DelAutorunByFileName('c:\documents and settings\lame\application data\sdra64.exe');   
 DelAutorunByFileName('\\?\globalroot\systemroot\system32\ld7uznX.exe');   
 DelAutorunByFileName('C:\WINDOWS\system32\6983df75.exe');     
 BC_ImportAll;   
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);                                                               
 BC_Activate;     
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

FieryAds - Адваре, лучше удалить, можно так -

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\DOCUME~1\lame\APPLIC~1\FieryAds\FieryAds.dll','');
 DeleteFile('C:\DOCUME~1\lame\APPLIC~1\FieryAds\FieryAds.dll');
 DelBHO('6D125299-C2A9-4DBC-BEC3-6F7124E39A41');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

Повторите логи.

**aleksey_k** · 09.07.2010, 12:11

Выполнил все инструкции, компьютер перестал перезагружаться. Спасибо. Файлы quarantine.zip и quarantine2.zip приложил. Ниже прилагаю логи.

**olejah** · 09.07.2010, 12:20

Поймали мы с Вами негодяев, отчитываюсь - C:\WINDOWS\system32\6983df75.exe - HEUR:Backdoor.Win32.Generic
\\?\globalroot\systemroot\system32\ld7uznX.exe - Backdoor.Win32.Shiz.jw

Выполните продецуру, описанную в первом сообщении этой темы - http://virusinfo.info/showthread.php?t=3519, ссылку на результат приложите сюда.

**aleksey_k** · 09.07.2010, 12:40

Выложил лог, с именем - 100709_123629_virusinfo_files_PRM-038_4c36df8d38136.zip. Спасибо огромное!

http://virusinfo.info/showpost.php?p...postcount=7844

**olejah** · 09.07.2010, 12:46

Пожалуйста, мы тут для этого.

Отчёт нашего робота -

Архив 100709_123629_virusinfo_files_PRM-038_4c36df8d38136.zip, загружен 09.07.2010 12:40:25, размер 23009092 байт
Всего файлов: 22 (исполняемых 22), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 4
В очереди на добавление в базу безопасных:
высокий приоритет: 9
обычный приоритет: 9

Жалобы у Вас есть какие-нибудь?

**aleksey_k** · 09.07.2010, 12:55

Нет, жалоб никаких нету

**CyberHelper** · 10.07.2010, 12:55

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\6983df75.exe - Backdoor.Win32.Shiz.ke ( DrWEB: BackDoor.Siggen.25443, AVAST4: Win32:Rootkit-gen [Rtk] )
2. \\?\globalroot\systemroot\system32\ld7uznx.exe - Backdoor.Win32.Shiz.jw ( DrWEB: Trojan.PWS.Ibank.53 )

Services.exe код 128 (заявка № 82756)

Опции темы

Services.exe код 128

Итог лечения

Похожие темы

services.exe

services.exe

KIS не может вылечить services.exe\services.exe

services.exe

cmd.exe и services.exe

Ваши права в разделе