Servises.exe

Printable View

30.10.2006, 02:34
an369

Вложений: 3

Servises.exe

Помогите, пожалуйста. Подцепил какую-то гадость. Выскакивает окно Servises о перезагрузки компьютера, отсчитывает одну минуту, окно исчезает, ничего не происходит. Через какое-то время комп. тормозит при "гулянии" в интернете, часто зависает, и иногда беспричинно "падает" уходя в перезагрузку. Ad-Aware часто находит определителей файлов и другую "нечисть". Через какое-то время они появляються вновь. Антивирус работает, но почти ничего не находит.
30.10.2006, 07:27
AndreyKa

Нужно установить Service Pack 2 для Windows XP и все вышедшие для него обновления безопасности.

Пришлите, как сказано в приложении 2 Правил следующие файлы:
[code]
D:\WINDOWS\System32\bcny.dll
D:\WINDOWS\System32\lzx32.sys
D:\New\System Volume Information\_restore{917762A0-8428-4898-9BC3-72E550A33737}\RP381\A0060765.exe
D:\New\System Volume Information\_restore{917762A0-8428-4898-9BC3-72E550A33737}\RP380\A0059478.exe[/code]

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis следующие строки:
O16 - DPF: {0E79192A-C52C-4260-920F-639AC2296203} - [url]http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1048_EN_XP.cab[/url]
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {43331111-1111-1111-1111-611111195622} -
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - [url]http://scripts.dlv4.com/binaries/IA/sysiasvc32_EN_XP.cab[/url]
O16 - DPF: {9961627E-4059-41B4-8E0E-A7D6B3854ADF} (IE 4.x-6.x BHO for Download Master) -
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} - [url]http://scripts.dlv4.com/binaries/IA/sysia32svc_EN_XP.cab[/url]
O20 - Winlogon Notify: winsys2freg - D:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll (file missing)
O21 - SSODL: DCOM Server 2234 - {2C1CD3D7-86AC-4068-93BC-A02304BB2234} - D:\WINDOWS\System32\bcny.dll (file missing)
30.10.2006, 21:32
an369

Файлы добавил. Из 4-х нашёл только 2: A0060765.exe и A0059478.exe, файл lzx32.sys не нашёл, но нашёл похожий на него - lz32.dll. AVZ добавить его в карантин отказался. Запустил программу HijackThis чтобы пофиксить строки... опять выскочило окно Services Shutdown c отсчётом одной минуты и вместе с ним окно "services.exe - Application Error The instruction at "0x77f755e9" referenced memory at "0x6d694d41". The memory could not be "read". Click on OK to terminate the program Я окно не стал закрывать, потому что в прошлый раз при нажатии на Ок компьютер "упал". Пока всё работает...
30.10.2006, 22:00
Shu_b

[QUOTE=an369]опять выскочило окно Services Shutdown c отсчётом одной минуты[/QUOTE][url]http://virusinfo.info/showthread.php?p=81201#post81201[/url]
[QUOTE=AndreyKa]Нужно установить Service Pack 2 для Windows XP и все вышедшие для него обновления безопасности
[/QUOTE][url]http://virusinfo.info/showthread.php?t=1342[/url] - заплатки которые нужно устанавливать после SP2...

В присланном (по DrWeb)
D:\New\System Volume Information\_restore{917762A0-8428-4898-9BC3-72E550A33737}\RP381\A0060765.exe - Dialer.Egroup
D:\New\System Volume Information\_restore{917762A0-8428-4898-9BC3-72E550A33737}\RP380\A0059478.exe - Trojan.Proxy.1087
31.10.2006, 00:02
AndreyKa

[quote=an369]файл lzx32.sys не нашёл[/quote]
Ищите так:
AVZ Меню - Стандартные скрипты - галочка у Поиск инейтрализация Rootkit ... - Выполнить отмеченные скрипты.
Затем Файл - Добавление в карантин по списку:
D:\WINDOWS\System32\lzx32.sys

И далее по Приожению 2 Правил.
02.11.2006, 22:42
an369

Вложений: 1

Позавчера система опять незаметно зависла, окно с Services перестало выскакивать, сегодня проверю ещё раз. Процедура по нахождению lzx32.sys не помогла, вероятно его стёр мой Ad-Aware. Высылаю новый hijackthis.log, может осталось что-то подозрительное.
03.11.2006, 10:06
Alex Plutoff

-пофиксить в HijackThis строки:
[QUOTE]O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - D:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - D:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (file missing) (HKCU)
O16 - DPF: {0E79192A-C52C-4260-920F-639AC2296203} - [url]http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1048_EN_XP.cab[/url]
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} -
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} - [url]http://scripts.dlv4.com/binaries/IA/sysia32svc_EN_XP.cab[/url]
O20 - Winlogon Notify: winsys2freg - D:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O21 - SSODL: DCOM Server 2234 - {2C1CD3D7-86AC-4068-93BC-A02304BB2234} - D:\WINDOWS\System32\bcny.dll (file missing)[/QUOTE]

P.S. а вообще-то нужно посмотреть ещё и на логи AVZ...
04.11.2006, 17:38
an369

Вложений: 2

Вот уже вторые сутки всё нормально, компьютер не "виснет" и не "падает" пофиксил в HijackThis строки... высылаю логи AVZ. На всякий случай, заранее огромное спасибо!!!
С уважением, Андрей.
05.11.2006, 23:07
Alex Plutoff

-в логах AVZ как будто всё нормально... хотя в Downloaded Program Files остались следы URL загрузки hттp://scripts.dlv4.com/binaries/IA/sysiasvc32_EN_XP.cab - с него тянется [B]Dialer.Win32.E-Group.u[/B], убедитесь, что пофиксились в HijackThis строки содержащие этот URL
13.11.2006, 21:26
an369

Вложений: 3

Моя "зараза" опять вернулась, те симптомы. Высылаю логи.
13.11.2006, 23:39
Alex Plutoff

-рано или поздно это должно было случиться... Вам же [B]AndreyKa[/B], ещё в самом начале, настоятельно рекомендовал: [URL="http://virusinfo.info/showpost.php?p=82721&postcount=2"]"Нужно установить Service Pack 2 для Windows XP и все вышедшие для него обновления безопасности."[/URL]
...кроме того, если хотите получить реальную помощь, то выкладывайте свежие логи, а не от 04.11.2006 ;)