Ошибка services.exe и завершение работы

Printable View

25.09.2010, 09:02
Dolgih i

Ошибка services.exe и завершение работы

Добрый день, требуется Ваша помощь:
Ошибка services.exe и завершение работы (отключение вызванно NT AUTHORITY/SYSTEM)
Ошибся, загрузил что положенно.
25.09.2010, 09:57
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\drivers\dkbd73a.sys','');
QuarantineFile('C:\WINDOWS\system32\ooewinsys.dll','');
QuarantineFile('F:\autorun.inf','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
25.09.2010, 11:01
Dolgih i

Всё выполнил.
25.09.2010, 11:14
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('dkbd73a');
DeleteFile('C:\WINDOWS\System32\drivers\dkbd73a.sys');
BC_DeleteSvc('dkbd73a');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
25.09.2010, 13:25
Dolgih i

Огромное спасибо! Проблема устранена, но появилась ошибка при завершении работы svchost.exe, можно чтонибудь ещё сделать?
25.09.2010, 13:38
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]полного сканирования МВАМ[/URL]
25.09.2010, 16:49
Dolgih i

Лог сделал.
Вот какие неполадки ещё обнаружил:
Диспетчер устройств пуст (неработает звук, USB порты, не отображается сетевое окружение - хотя интернет работает).
25.09.2010, 17:17
Dolgih i

Нашёл причину, были отключенны все службы в msconfig
Сейчас вроде всё работает.
Большое спасибо!
25.09.2010, 17:31
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Admin\Рабочий стол\avz4\Quarantine\2010-09-25\avz00001.dta (BackDoor.Gootkit) -> No action taken.
C:\Documents and Settings\Admin\Рабочий стол\avz4\Quarantine\2010-09-25\bcqr00001.dat (BackDoor.Gootkit) -> No action taken.
C:\Documents and Settings\Admin\Рабочий стол\avz4\Quarantine\2010-09-25\bcqr00002.dat (BackDoor.Gootkit) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\gert0.dll (Trojan.Qhosts) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\WINDOWS\system32\d.dll','');
QuarantineFile('D:\WINDOWS\system32\norton.exe','');
QuarantineFile('D:\WINDOWS\system32\ps2m.exe','');
QuarantineFile('D:\WINDOWS\system32\dllcache\iissync.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
25.09.2010, 18:10
Dolgih i

Сделано
25.09.2010, 18:35
olejah

Удалите в МВАМ -

[CODE]Зараженные файлы:
D:\WINDOWS\system32\d.dll (Backdoor.Bot) -> No action taken.
D:\WINDOWS\system32\norton.exe (Trojan.Downloader) -> No action taken.
D:\WINDOWS\system32\ps2m.exe (Malware.Tool) -> No action taken.
D:\Documents and Settings\Администратор\Рабочий стол\Гугуш\norton.exe (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\Администратор\Рабочий стол\Гугуш\ps2m.exe (Malware.Tool) -> No action taken.
D:\Documents and Settings\Администратор\Рабочий стол\Гугуш\d.dll (Backdoor.Bot) -> No action taken.[/CODE]
28.09.2010, 11:13
Dolgih i

спасибо Вам, все нормально работает.
28.09.2010, 11:31
olejah

Рекомендуется -

- Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
29.09.2010, 11:31
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\dkbd73a.sys - [B]Rootkit.Win32.Agent.bivz[/B] ( DrWEB: BackDoor.Gootkit.23, BitDefender: Backdoor.Agent.AAUA, NOD32: Win32/Otlard.I trojan, AVAST4: Win32:Agent-AHQZ [Trj] )[*] d:\\windows\\system32\\norton.exe - [B]not-a-virus:RiskTool.Win32.HideWindows[/B] ( DrWEB: Trojan.Flood.22016, BitDefender: Application.HideWindow.B, AVAST4: Win32:Hidewnd [Tool] )[*] d:\\windows\\system32\\ps2m.exe - [B]not-a-virus:PSWTool.Win32.PassView.bs[/B] ( DrWEB: Tool.PassView.604, BitDefender: Application.Passview.A )[/LIST][/LIST]