services.exe 1073741819

Printable View

23.10.2010, 16:33
WhiteBear

services.exe 1073741819

[B]Доброго времеи с сток, прошу помощи.

NT AUTHORITY SYSTEM [/B]
вылезает окошко и пишет: NP AUTHORITY / SYSTEM
SYSTEM32/services.exe - 1073741819
после чего система уходит в перезагрузку.

ноутбук ASUS A6R os:winХРНЕ sp2
Все делал по рекомендациям Правил...
восстановление системы - отключил
безопасный режим уходил в BSOD (вылечил по методике из FAQ)
но и в безопасном режиме и CureIt и AVP removial Tool отработать до конца не успевают - вылезает ошибка 1073741819 и ситема уходит в перезагрузку.
Пытался проверить с помошью LiveCD (kaspersky reskue disk) - загрузка прерывается на этапе монтирования файловой системы.
drweb live cd тоже зависает в процессе загрузки
livecd avg_arl_cdi_all_100_100826a3693.iso - отработал, нашел и удалил одного трояна но проблема осталась.
Что делать?
23.10.2010, 20:32
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\client.exe','');
DelBHO('{2D20047A-CF8B-4F2A-BA9E-076EF373FE13}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
QuarantineFile('fmkvhzin27.dll','');
DeleteService('dac970nt');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\VV.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\IQBTRUDNPHDRG.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\Google\Update\GoogleUpdateBeta.exe','');
DeleteService('IQBTRUDNPHDRG');
DeleteService('VV');
QuarantineFile('C:\DOCUME~1\user\APPLIC~1\Help\DRVDLL~1\msftldr.dll','');
QuarantineFile('C:\Documents and Settings\user\Application Data\Help\drvdlldrv23\msftcore.dll','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\IQBTRUDNPHDRG.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\VV.exe');
DeleteFile('C:\WINDOWS\system32\drivers\mhosln.sys');
DeleteFile('C:\DOCUME~1\user\APPLIC~1\Help\DRVDLL~1\msftldr.dll');
DeleteFile('fmkvhzin27.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
24.10.2010, 00:43
WhiteBear

скрипт прогнал
Карантин выслал, (получился большой, 150 мб)
новые логи прилагаю
24.10.2010, 00:59
thyrex

Нет Вашего карантина. Какой файл занимает в карантине больше всего места? C:\client.exe ?

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
24.10.2010, 01:30
WhiteBear

убрал из архива самый большой файл (client.exe - sfx архив, сборник софта)
выслал повторно,
лог полного сканирования МВАМ в процессе создания :)
24.10.2010, 01:44
WhiteBear

log полного сканирования МВАМ
24.10.2010, 13:26
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\K.exe','');
DeleteService('K');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\K.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url]
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\service.sys (Rootkit.Agent) -> No action taken.[/CODE]
24.10.2010, 14:45
WhiteBear

сделал
24.10.2010, 17:56
thyrex

Что с проблемой?
24.10.2010, 20:05
WhiteBear

Ну, в перезагруз больше не уходит.
Cейчас запустил AVP removial Tool,
нашел файл msftcore.dll (Backdoor.win32,agent.basq) и больше ничего.
Думаю, что проблему вы решили.
Большое спасибо за помощь.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 11 минут[/I][/B][/color][/size]

Единственный глюк остался - не загружается драйвер сетевой карты.
Переустановка драйвера не помогла, WinsockFix тоже.
сейчас пробую прогнать sfc /scannow
25.10.2010, 20:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\application data\\help\\drvdlldrv23\\msftcore.dll - [B]Backdoor.Win32.Agent.basq[/B] ( DrWEB: BackDoor.Msft.1, BitDefender: Backdoor.Generic.497160, NOD32: Win32/Agent.RPY trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]