опять services.exe

Добрый вечер!
avz ругается на неубиваемый services.exe и самопроизвольно открываютмя окна браузера. Вот из видимого вроде все. Логи:

Пора уже учиться на своих ошибках. До сих пор под админом и с включёнными скриптами по помойкам шастаете, вот и результат- полна горница зверей ;)

Выполните скрипт@ avz:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\wuauclt.exe','');
QuarantineFile('E:\kk3.bat','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\kk3.bat','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('c:\gismeteotray\gismeteotray.exe','');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('C:\WINDOWS\system32\ckvo0.dll','');
QuarantineFile('C:\WINDOWS\system32\ckvo.exe','');
TerminateProcessByName('c:\windows\services.exe');
TerminateProcessByName('c:\windows\ckvo.exe');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('c:\windows\system32\lvista.exe','');
DeleteFile('c:\windows\system32\lvista.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\ckvo0.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\kk3.bat');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\Program Files\Microsoft Common\wuauclt.exe');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
BC_Activate;
RebootWindows(true);
end.[/code]

Закачайте карантин по ссылке -> [color=red]Прислать запрошенный карантин [/color]вверху темы (Приложение 3 правил).
Новые логи сделать и прикрепить к следующему сообщению в данной теме .

Про включенные скрипты и про помойки поподробнее можно? ;)

Карантин закачан, новые логи:

limited user: [url]http://virusinfo.info/showthread.php?t=8090[/url]
в макстоне не получиться отключить все по умолчанию и разрешить только некоторым :) Решение -> firefox+ noscript
помойки -они и в африке помойки :)
к тому же даже вполне приличный сайт может в один прекрасный момент стать рассадником зверей на какое-*то время :)

P.S. что то не всё удалилось, сейчас напишу дальнейшее лечение..

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

Пофиксить в HijackThis
[code]O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe[/code]
и не перегружаясь выполнить скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

ClearQuarantine;
QuarantineFile('F:\DRIVER\Audio\winio.sys','');
QuarantineFile('C:\WINDOWS\system32\pcixm.sys','');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
DeleteFile('C:\WINDOWS\system32\ckvo0.dll');
DeleteFile('C:\WINDOWS\system32\ckvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\kk3.bat');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\kk3.bat');
DeleteFile('C:\kk3.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Закачайте карантин по ссылке -> Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Новые логи сделать и прикрепить к следующему сообщению в данной теме .

Карантин закачан, повторные логи:

Базы авз надо обновлять перед тем как делать логи, разницу чувствуете ?
похоже ваших зверей убили ;) Как "очучение" ?
следы остались от одного, вот этот скрипт почистить должен :
[code]
begin
DeleteFile('C:\WINDOWS\system32\pcixm.sys');
BC_DeleteSvc('pcixm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Тут заметила такую вещь, не отображаются скрытые и системные файлы и папки, в свойствах папки ставлю галочку "отображать", далее ок, папки не отображаются, галочка автоматически возвращается на "не отображать". Это может быть связано с вирусом?

обычно помогает вот это:
[code]
begin
executerepair(6);
executerepair(8);
RebootWindows(true);
end.[/code]

спасибо!

Спасибо надо нажимать и советую внять моим советам, тогда реже придёться лечиться, если вообще ;)
вот что было:
[code]
autorun.inf, autorun.inf1, autorun.inf2 - Worm.Win32.AutoRun.mbk,
ckvo.exe_, ckvo0.dll, kk3.bat1, kk3.bat2, kk3.bat_ - Worm.Win32.AutoRun.mef,
wuauclt.exe_ - Worm.Win32.AutoRun.mdu

-----------------------------------------
lvista.exe_ - Trojan-Clicker.Win32.Delf.aul

Детектирование файла будет добавлено в следующее обновление.
[/code]

P.S. MYCENT~1.DLL- не был зловредным, но попал под горячую руку :) Не люблю я тулбары експлорера :)

[QUOTE=drongo;278536] P.S. MYCENT~1.DLL- не был зловредным, но попал под горячую руку :) Не люблю я тулбары експлорера :)[/QUOTE]
Mycentria это нехорошая вещь. Обсуждалось здесь: [url]http://virusinfo.info/showthread.php?t=26298[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]49[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.mbk[/B][*] c:\\kk3.bat - [B]Worm.Win32.AutoRun.mef[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\program files\\microsoft common\\wuauclt.exe - [B]Worm.Win32.AutoRun.mdu[/B] (DrWEB: Win32.HLLW.Autoruner.2661)[*] c:\\progra~1\\mycent~1\\infobar\\mycentriainfobar.dll - [B]not-a-virus:AdWare.Win32.MyCentria.a[/B] (DrWEB: Trojan.Mycentria.7)[*] c:\\progra~1\\mycent~1\\infobar\\mycent~1.dll - [B]not-a-virus:AdWare.Win32.MyCentria.a[/B] (DrWEB: Trojan.Mycentria.7)[*] c:\\windows\\system32\\ckvo.exe - [B]Worm.Win32.AutoRun.mef[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\windows\\system32\\ckvo0.dll - [B]Worm.Win32.AutoRun.mef[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\windows\\system32\\lvista.exe - [B]Trojan-Clicker.Win32.Delf.aul[/B] (DrWEB: Trojan.Click.19092)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.mbk[/B][*] d:\\kk3.bat - [B]Worm.Win32.AutoRun.mef[/B] (DrWEB: Trojan.Nsanti.Packed)[*] e:\\autorun.inf - [B]Worm.Win32.AutoRun.mbk[/B][*] e:\\kk3.bat - [B]Worm.Win32.AutoRun.mef[/B] (DrWEB: Trojan.Nsanti.Packed)[/LIST][/LIST]