-
Junior Member
- Вес репутации
- 49
Ошибка services.exe. Выключает систему.
Добрый день! Принесли ноутбук с кучей вирусов,не запускаемый вообще. Восстановил MBR ,система запустилась. Вирусов часть удалил.
Осталась проблема - через некоторое время работы системы появляется ошибка services.exe (обратилась по адресу, который не может быть read) и следом окно закрытия системы через 60 сек.
Прошу помощи!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\DOCUME~1\9335~1\APPLIC~1\INSTAL~1\dllvcldrv65\msftldr.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\InstallShield\dllvcldrv65\msfteml.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\InstallShield\dllvcldrv65\msftcore.dll','');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DelCLSID('{77BCK2V0-3HKJ-89VV-XAF2-88KL5R9896622}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=91641).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Продолжаю лечить систему. проблема с ошибкой services.exe осталась.
так же не получается отключить Систему восстановления, вкладка мертвая, не реагирует при выборе пункта Отключить систему восстановления и на ползунок с указанием места под восстановление. При открытии СВ через пуск выходит табличка что Сист.вост. не удается защитить компьютер, перезагрузитесь. отключил через реестр. Снова выполнил скрипт. пока не уходит ошибка.
-
-
-
Junior Member
- Вес репутации
- 49
-
Junior Member
- Вес репутации
- 49
все прошла беда. Ошибка не появляется. В безопасном режиме проверил cureit'ом полностью. Поставил SUPERAntiSpyware, он тоже нашел заразу.
спасибо за помощь!
-
Скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Администратор\Application Data\InstallShield\dllvcldrv65\msftcore.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\InstallShield\dllvcldrv65\msfteml.dll');
DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\INSTAL~1\dllvcldrv65\msftldr.dll');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP76\A0016552.exe:BAK:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP76\A0016563.exe:BAK:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP76\A0016578.exe:BAK:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP76\A0016602.exe:BAK:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP78\A0017623.exe:BAK:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP78\A0017640.exe:BAK:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP78\A0017662.exe:BAK:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP85\A0018314.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP85\A0018624.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP85\A0020733.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP87\A0021943.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP90\A0022304.exe');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP91\A0023793.sys');
DeleteFile('C:\System Volume Information\_restore{101C2EB2-8316-4AC6-BF24-F1D6EE4B1F48}\RP91\A0025877.exe:userini.exe:$DATA');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Восставление системы отключите
Пункт 2,3 диагностики повторите.
-
-
Junior Member
- Вес репутации
- 49
Спасибо! все проделал. все в порядке!
-
Сообщение от
light59
Пункт 2,3 диагностики повторите.
а это?
-
-
Junior Member
- Вес репутации
- 49
логи на буке остались, который уже отдал владельцу!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\installshield\\dllvcldrv65\\msftcore.dll - Backdoor.Win32.Agent.bbjc ( DrWEB: BackDoor.Msft.1, BitDefender: Backdoor.Generic.510410, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\администратор\\application data\\installshield\\dllvcldrv65\\msfteml.dll - Backdoor.Win32.Agent.bbjd ( DrWEB: Trojan.Spambot.9729, BitDefender: Trojan.Generic.5077948, NOD32: Win32/Agent.RPY trojan, AVAST4: Win32:Trojan-gen )
- c:\\docume~1\\9335~1\\applic~1\\instal~1\\dllvcldr v65\\msftldr.dll - Trojan.Win32.Agent.hhcv ( DrWEB: BackDoor.Siggen.27171, BitDefender: Gen:Variant.Hyat.1, NOD32: Win32/Agent.RQN trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\explorer.exe:userini.exe:$data - Trojan.Win32.TDSS.bqes ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.KDV.63591, AVAST4: Win32:Malware-gen )
-