-
Junior Member
- Вес репутации
- 53
services.exe - ЭПС: подозрение на Файл с подозрительным именем
Добрый день, уважаемые хелперы.
Авз пишет:
>>> Подозрение на маскировку ключа реестра службы\драйвера "pwaefcbsi"
>>> Подозрение на маскировку ключа реестра службы\драйвера "sryxnazbq"
>>> E:\WINDOWS\system32\serivces.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Временами пропадает доступ к сайтам и форумам.
В диспетчере задач отображаются два процесса services.exe
Заранее спасибо за помощь.
Логи прилагаются.
Последний раз редактировалось Alexey R; 26.01.2011 в 12:35.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('PlugPlayCM');
QuarantineFile('e:\program files\internet explorer\dtbqsr.dll','');
QuarantineFile('e:\windows\system32\serivces.exe','');
TerminateProcessByName('e:\windows\system32\serivces.exe');
DeleteFile('e:\windows\system32\serivces.exe');
DeleteFile('e:\program files\internet explorer\dtbqsr.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 53
Файл сохранён как 110126_125320_quarantine_4d3fef10bb18c.zip
Размер файла 517444
MD5 388e4e719ca8d5b8060d1bf0f81094df
Чуть позже будет готов лог GMER.
-
Junior Member
- Вес репутации
- 53
Прошу прощения за задержку.
После сканирования Гмером пропал доступ к конференции. Теперь захожу через прокси. В диспетчере задач всё ещё маячит процесс Serivces.exe.
Лог прилагается.
Последний раз редактировалось Alexey R; 26.01.2011 в 15:01.
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится p00qy4fc.exe (GMER) и запустите этот батник(1.bat):
Код:
p00qy4fc.exe -del service pwaefcbsi
p00qy4fc.exe -del service sryxnazbq
p00qy4fc.exe -del file "E:\Program Files\Internet Explorer\dtbqsr.dll"
p00qy4fc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pwaefcbsi"
p00qy4fc.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\pwaefcbsi"
p00qy4fc.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\pwaefcbsi"
p00qy4fc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sryxnazbq"
p00qy4fc.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\sryxnazbq"
p00qy4fc.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sryxnazbq"
p00qy4fc.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог Gmer
-
-
Junior Member
- Вес репутации
- 53
-
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Скачайте такую утилиу и провертесь ей
после проверки сделайте повторный лог virusinfo_syscheck.zip
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- e:\\program files\\internet explorer\\dtbqsr.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Trojan.Click2.3118, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.X worm, AVAST4: Win32:Rootkit-gen [Rtk] )
- e:\\windows\\system32\\serivces.exe - Worm.Win32.AutoRun.btzw ( DrWEB: BackDoor.IRC.Sdbot.15548, BitDefender: Trojan.Generic.5630695, AVAST4: Win32:AutoRun-CTL [Trj] )
-