services.exe

Printable View

07.10.2008, 16:42
Victor

services.exe

При загрузки Windows выдает табличку:"Неожиданное завершение системного процесса "C:\\WINDOWS\system32\services.exe" с кодом ошибки - 1073741819.Будет произведена перезагрузка системы.Отключение вызванно : NT AUTHORITY/SYSTEM
И далее идет осчет 60 секунд

После выполнения правил "Диагностика" 1-3 комп стал запускаться ,но выдаёт чёрный экран при загрузке...
Warning win32/Adware.Virtumonde
detected on your computer
Warning win32/Privacy Remover.M64
detected on your computer
Антивирусы пробывал и касперского 8.0.0.357 и Spyware doctor и Dr.Web не удаляют.(В безопасном режиме ,с отключённой опцией восстановления системы на всех дисках)
07.10.2008, 17:04
Гриша

Восстановление отключить, базы обновить!

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:

[CODE]C:\WINDOWS\system32\Drivers\ati6taxx.sys[/CODE]

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\Temp\.tt9.tmp.exe','');
DeleteService('ati6taxx');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati6taxx.sys','');
QuarantineFile('C:\DOCUME~1\home\LOCALS~1\Temp\nsg13.tmp\ext.dll','');
QuarantineFile('c:\windows\temp\.tt9.tmp.exe','');
TerminateProcessByName('c:\windows\temp\.tt9.tmp.exe');
DeleteFile('c:\windows\temp\.tt9.tmp.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ati6taxx.sys');
DeleteFile('C:\WINDOWS\Temp\.tt9.tmp.exe');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('C:\WINDOWS\system32\blphc5olj0ea13.scr');
DeleteFile('qzqhqd.dll');
DeleteFile('msansspc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
07.10.2008, 18:07
Victor

на счёт карантина ...не понятно какие файлы нужно прислать...
[B]"2. В верхнем[/B] окне введите список файлов которые Вас просили прислать."
07.10.2008, 18:12
Гриша

Это старые логи, нужны логи после скрипта... пришлите все что есть в карантине...
07.10.2008, 18:40
Victor

прислал вроде
p/s как старые?они по размеру даже отличаются
07.10.2008, 18:53
Rene-gad

[QUOTE=Гриша;293975][COLOR="Red"][SIZE="5"]базы обновить![/SIZE][/COLOR][/QUOTE]
8)
07.10.2008, 18:59
Victor

понял,щас...

вот.
Карантин отправил
07.10.2008, 21:06
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O4 - HKLM\..\Run: [inrhc1olj0ea13] C:\WINDOWS\Temp\.tt9.tmp.exe /CR=BF41E8B2D96ED8F141145E40F597DD532C31897B64CC08339E0B33BCCE869D392AE89F501F84050CCE04227FF7920F9A083FD8AF4497926C9E9A450570D06D36B39BAEF403F2E9A7903811B90BBFACA0E3E1491EE8C5B1
O20 - Winlogon Notify: qzqhqd - C:\WINDOWS\[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\.tt9.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Очистите временные папки, кеш браузера и повторите логи...
07.10.2008, 22:25
Victor

done )
07.10.2008, 22:28
Гриша

Чисто, жалобы есть?
07.10.2008, 22:32
Victor

нет,спасибо большое тебе...
вопрос только один у меня ,как этому научиться? :)
07.10.2008, 22:34
Гриша

Чему этому ?
07.10.2008, 22:37
Victor

во первых как увидеть вирус в логаx
вы сразу написали удалить
DeleteFile('c:\windows\temp\.tt9.tmp.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ati6taxx.sys');
DeleteFile('C:\WINDOWS\Temp\.tt9.tmp.exe');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('C:\WINDOWS\system32\blphc5olj0ea13.scr');
DeleteFile('qzqhqd.dll');
DeleteFile('msansspc.dll');
07.10.2008, 22:45
Гриша

Они нам в логах улыбаются :) Подайте заявку в студенты тут [url]http://virusinfo.info/profile.php?do=editusergroups[/url] и может они вам тоже улыбнутся ;)
22.02.2009, 08:32
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\home\\locals~1\\temp\\nsg13.tmp\\ext.dll - [B]not-a-virus:FraudTool.Win32.AntiMalware2009.a[/B] (DrWEB: Trojan.Fakealert.1502)[*] c:\\windows\\temp\\.tt9.tmp.exe - [B]not-a-virus:FraudTool.Win32.AntiMalware2009.a[/B] (DrWEB: archive: Trojan.Fakealert.1264)[/LIST][/LIST]