-
Junior Member
- Вес репутации
- 50
services.exe 1073741819
Доброго времеи с сток, прошу помощи.
NT AUTHORITY SYSTEM
вылезает окошко и пишет: NP AUTHORITY / SYSTEM
SYSTEM32/services.exe - 1073741819
после чего система уходит в перезагрузку.
ноутбук ASUS A6R os:winХРНЕ sp2
Все делал по рекомендациям Правил...
восстановление системы - отключил
безопасный режим уходил в BSOD (вылечил по методике из FAQ)
но и в безопасном режиме и CureIt и AVP removial Tool отработать до конца не успевают - вылезает ошибка 1073741819 и ситема уходит в перезагрузку.
Пытался проверить с помошью LiveCD (kaspersky reskue disk) - загрузка прерывается на этапе монтирования файловой системы.
drweb live cd тоже зависает в процессе загрузки
livecd avg_arl_cdi_all_100_100826a3693.iso - отработал, нашел и удалил одного трояна но проблема осталась.
Что делать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\client.exe','');
DelBHO('{2D20047A-CF8B-4F2A-BA9E-076EF373FE13}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
QuarantineFile('fmkvhzin27.dll','');
DeleteService('dac970nt');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\VV.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\IQBTRUDNPHDRG.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\Google\Update\GoogleUpdateBeta.exe','');
DeleteService('IQBTRUDNPHDRG');
DeleteService('VV');
QuarantineFile('C:\DOCUME~1\user\APPLIC~1\Help\DRVDLL~1\msftldr.dll','');
QuarantineFile('C:\Documents and Settings\user\Application Data\Help\drvdlldrv23\msftcore.dll','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\IQBTRUDNPHDRG.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\VV.exe');
DeleteFile('C:\WINDOWS\system32\drivers\mhosln.sys');
DeleteFile('C:\DOCUME~1\user\APPLIC~1\Help\DRVDLL~1\msftldr.dll');
DeleteFile('fmkvhzin27.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
скрипт прогнал
Карантин выслал, (получился большой, 150 мб)
новые логи прилагаю
-
Нет Вашего карантина. Какой файл занимает в карантине больше всего места? C:\client.exe ?
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
убрал из архива самый большой файл (client.exe - sfx архив, сборник софта)
выслал повторно,
лог полного сканирования МВАМ в процессе создания
-
Junior Member
- Вес репутации
- 50
log полного сканирования МВАМ
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\K.exe','');
DeleteService('K');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\K.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\service.sys (Rootkit.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Ну, в перезагруз больше не уходит.
Cейчас запустил AVP removial Tool,
нашел файл msftcore.dll (Backdoor.win32,agent.basq) и больше ничего.
Думаю, что проблему вы решили.
Большое спасибо за помощь.
Добавлено через 1 час 11 минут
Единственный глюк остался - не загружается драйвер сетевой карты.
Переустановка драйвера не помогла, WinsockFix тоже.
сейчас пробую прогнать sfc /scannow
Последний раз редактировалось WhiteBear; 24.10.2010 в 22:53.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\application data\\help\\drvdlldrv23\\msftcore.dll - Backdoor.Win32.Agent.basq ( DrWEB: BackDoor.Msft.1, BitDefender: Backdoor.Generic.497160, NOD32: Win32/Agent.RPY trojan, AVAST4: Win32:Malware-gen )
-