services.exe

Printable View

08.01.2007, 17:04
selezian

Вложений: 3

services.exe

Видел, что вы уже решали такую проблему, надеюсь и мне поможете. Через некоторое время работы за компом выскакивает окошко предупреждения о том что "вы что-то делали" и т.д.. Если нажать ОК - появится окошко, предупреждающее о перезагрузке системы через минуту, если ОК не нажимать - можно спокойно работать дальше, только перед выключением придется перезагрузить. McAfee Virusscan Professional Edition, файервол его же, во время проверки нашел какую-то мелочь, которую и удалил. Наверняка на компе полно всякой заразы, антивир правда ее не находит.
08.01.2007, 17:31
pig

AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\brwstat.dll','');
QuarantineFile('C:\WINDOWS\system32\brwmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\vb5dmspo.dll','');
QuarantineFile('C:\WINDOWS\system32\e1.dll','');
QuarantineFile('C:\WINDOWS\system32\confbrw.dll','');
DeleteFile('C:\WINDOWS\system32\e1.dll');
DeleteFile('C:\WINDOWS\system32\vb5dmspo.dll');
DeleteFile('C:\WINDOWS\system32\brwmgr32.dll');
DeleteFile('C:\WINDOWS\system32\brwstat.dll');
DeleteFile('C:\WINDOWS\system32\confbrw.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин в соответствии с Приложением 2, начиная с пункта 5.
Записи в HOSTS сами вносили? Если нет, то пофиксите в HijackThis:
[code]O1 - Hosts: 85.112.148.29 newcapital.combats.com
O1 - Hosts: 85.112.148.29 www.combats.com
O1 - Hosts: 85.112.148.34 img.combats.ru
O1 - Hosts: 85.112.148.34 top.combats.ru
O1 - Hosts: 85.112.148.20 capitalcity.combats.ru
O1 - Hosts: 85.112.148.21 angelscity.combats.ru
O1 - Hosts: 85.112.148.22 demonscity.combats.ru
O1 - Hosts: 85.112.148.23 devilscity.combats.ru
O1 - Hosts: 85.112.148.24 suncity.combats.ru
O1 - Hosts: 85.112.148.25 emeraldscity.combats.ru
O1 - Hosts: 85.112.148.26 sandcity.combats.ru
O1 - Hosts: 85.112.148.27 mooncity.combats.ru
O1 - Hosts: 85.112.148.20 combats.ru
O1 - Hosts: 85.112.148.20 www.combats.ru
O1 - Hosts: 85.112.114.5 torrents.ru
O1 - Hosts: 85.112.113.102 bt.torrents.ru[/code]
Потом повторите логи, надо посмотреть, что осталось.
08.01.2007, 18:29
selezian

Скрипт выполнен без ошибок.
Файл сохранён как 070108_092836_virus_45a26324b043a.zip
Вносил сам, если это может на что-то повлиять - потру.
08.01.2007, 18:39
pig

Нет, раз сами вносили, то это не троянские следы. Давайте новые логи.
08.01.2007, 18:42
selezian

Вложений: 3

вот логи
09.01.2007, 01:57
pig

Замечательно. Пофиксите:
[code]O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\system32\brwconf.exe
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing)[/code]
И больше я ничего явно злобного не вижу.
Megaupload Toolbar - знаете что такое?
09.01.2007, 02:35
selezian

Говорить наверное еще рано, но вроде проблема исчезла. Спасибо большое.
Ну кажись примочка к файрфоксу, чтобы с мегааплоада качалось без ограничений, ток я ее кажись удалил.
09.01.2007, 03:24
pig

Тогда всё.
09.01.2007, 09:36
selezian

спасибо! за бескорыстную помощь
22.02.2009, 01:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\brwmgr32.dll - [B]Email-Worm.Win32.Warezov.hx[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\brwstat.dll - [B]Email-Worm.Win32.Warezov.hx[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\confbrw.dll - [B]Email-Worm.Win32.Warezov.ra[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\e1.dll - [B]Email-Worm.Win32.Warezov.et[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\vb5dmspo.dll - [B]Email-Worm.Win32.Warezov.et[/B] (DrWEB: Win32.HLLM.Limar)[/LIST][/LIST]