Как удалить ZZZsvc_lich

[FONT=Times New Roman][SIZE=3]Подхватил троян.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Касперский (версия 4.5.0.97) периодически на него рычит. Запустил его сканер, он ничего не нашел.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Я нашел в корневом каталоге файл lich.exe и удалил его руками, не используя AVZ. После этого Касперский вроде как перестал рычать, но висит служба ZZZsvc_lich, у которой запуск стоит на авто, исполняемый файл C:\lich.exe, которого уже нет. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Как удалить эту службу?[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Во вложениях логии, после того как я уже удалил lich.exe.[/SIZE][/FONT]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('ZZZsvc_lich');
QuarantineFile('C:\WINDOWS\csrss.exe','');
DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\lich.exe');
BC_DeleteSvc('ZZZsvc_lich');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин по [URL="http://virusinfo.info/upload_virus.php?tid=15566"]этой[/URL] ссылке. Повторите логи.

Версии 4.5 антивируса Касперского устарела. Нужно обновиться до 7-й.

Скрипт запустил
Карантин отправил.
В прикреплении логи

Пришлите по правилам файл E:\Install\SOFT\NETWORK\SMS\SMS.EXE

Отправил файл

Удалите этот файл, сделайте для проверки повторные логи

Файл удалил
Логи во вложениях

выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\Install\SOFT\PATCHES\CRACK\KEYFINDER.EXE','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Axb61.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Следом такой скрипт:
[code]
begin
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Axb61.sys');
BC_DeleteSvc('Axb61');
BC_Activate;
RebootWindows(true);
end.[/code]
Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]

[quote]E:\Install\SOFT\PATCHES\CRACK\KEYFINDER.EXE/{RAR-SFX}/officekey.exe >>>>> not-a-virus: PSWTool.Win32.RAS.a [/quote]
Ай-яй-яй, низзя! ;)

Карантин выслать после 2-ого скрипта или до?

не имеет значения ... главное после первого ;)

1. Выполнил 1-ый скрипт
2. Отправил карантин
3. Выполнил 2-ой скрипт
[quote=Bratez;163647]
Посмотрите, нужно ли вам что-то из этого:
[/quote]
Если честно - большая часть из этих служб мне ни о чем не говорит, щас попытаюсь понять что это за звери, и если не нужно буду отключать
[quote=Bratez;163647]
Ай-яй-яй, низзя! ;)
[/quote]
:blush:

у меня в исключениях XP-ого фаервола сидит вот такая бяка "222134313A689BB5", которая запускается C:\WINDOWS\csrss.exe.
Это нормально?

Этот файл был удален еще в сообщении #2.
Запись из исключений удалите.

ок, спасибо

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]