services.exe атакует

Printable View

26.05.2010, 20:30
soiberg

services.exe атакует

Началось все с банеров порно характера, мол отправьте смс чтобы его снять, снял банера, проверил авп 7, обнаружил services.exe, удалить не получается, по рекомендации авп пытался создать бат файл и через реестр удалить ыукмшсуы, но тоже не вышло. ПОМОГИТЕ)
26.05.2010, 20:57
soiberg

Да и авп выдает что этот файл пытается сделать подключение куда то, ну и блокирует его по моей просьбе
26.05.2010, 21:59
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('\\?\globalroot\systemroot\system32\DXPL6pF.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\faUYpAU.exe','');
QuarantineFile('C:\Documents and Settings\All Users\iexplore.exe','');
DeleteFile('C:\Documents and Settings\All Users\iexplore.exe');
BC_DeleteFile('\\?\globalroot\systemroot\system32\faUYpAU.exe');
BC_DeleteFile('\\?\globalroot\systemroot\system32\DXPL6pF.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
27.05.2010, 13:26
soiberg

Сообщение Касперского: Процесс пытается внедриться в другой процесс.
Потенциально опасное ПО : invader
Процесс (PID:1408): C:\WINDOWS\system32\services.exe

Результат загрузки
Файл сохранён как 100527_132516_virus_4bfe3a7c3c881.zip
Размер файла 6418273
MD5 b34df06deff9923c938ab6ede5c75e5f

Файл закачан, спасибо!

Только помоему services.exe он не записал в карантин, а как avz обновить?
27.05.2010, 13:47
soiberg

ах да, и у архива пароль вирус
вот еще virusinfo_syscheck.zip
27.05.2010, 14:55
AndreyKa

Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
ExecuteStdScr(5);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\Запустить обозреватель Internet Explorer.lnk');
end.[/code]
[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis строку:
[quote]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\faUYpAU.exe,\\?\globalroot\systemroot\system32\DXPL6pF.exe,
[/quote]
Выполните в AVZ скрипт [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Установите антивирус поновее.
27.05.2010, 21:17
soiberg

не стал обновлять оперу, потому что ей не пользуюсь, касперский продолжает сообщать о вмешательствах services.exe
ничего не помогло
27.05.2010, 21:41
soiberg

27.05.2010 21:39:34 C:\WINDOWS\system32\services.exe Внедряемый процесс: C:\WINDOWS\system32\services.exe ID процесса (PID): 1408 Попытка внедрения в процесс: C:\Program Files\Internet Explorer\iexplore.exe ID процесса (PID): 2244
30.05.2010, 18:17
soiberg

где все?
30.05.2010, 20:56
thyrex

Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
31.05.2010, 20:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]