Останавливаются службы

Printable View

Показывать 40 сообщений этой темы на одной странице

11.03.2010, 12:23
Anton_ua

Останавливаются службы

На компьютере Windows xp sp3 постоянно останавливаются службы Сервер, обозреватель ком-ов, рабочая станция и др.. Приходится запускать вручную, но они через час-2 снова останавливаются. Невозможно получить доступ к расшареным на нем ресурсам. Все обновления Виндовс ставил, не помогает
Помогите вылечить.
11.03.2010, 12:46
Alex Plutoff

- [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить в HijackThis[/URL][CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]выполните в AVZ скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\rasadhlp.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\rasadhlp.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]...после перезагрузки пришлите карантин, файл [B]quarantine.zip[/B], котрый находится в папке c AVZ, воспользовавшись ссылкой вверху темы - [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]
11.03.2010, 13:03
Anton_ua

выполнил
11.03.2010, 13:16
Alex Plutoff

- сделайте свежие логи, согласно [URL="http://virusinfo.info/showthread.php?t=1235"][B][COLOR="RoyalBlue"][COLOR="Blue"]правил[/COLOR][/COLOR][/B][/URL], начиная с пункта 2 раздела [B][COLOR="Sienna"]Диагностика[/COLOR][/B]
11.03.2010, 13:24
Anton_ua

сделал
11.03.2010, 13:41
Alex Plutoff

- в логах ничего явно зловредного не обнаружено.
- остались ещё какието замечания по работе системы?..
11.03.2010, 13:58
Anton_ua

Да, службы так и останавливаются каждый час где-то
11.03.2010, 14:03
Alex Plutoff

- [URL="http://virusinfo.info/showthread.php?t=53070"]сделайте логи MBAM[/URL]
...и [URL="http://virusinfo.info/showthread.php?t=57441"]остановите/выгрузите[/URL] антивирус на время сканирования и создания логов
11.03.2010, 14:47
Anton_ua

логи mbam
11.03.2010, 15:02
Alex Plutoff

- [URL=http://virusinfo.info/showthread.php?t=53070]удалите с помощью MBAM указанные элементы:[/URL][CODE]Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dllcache (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dllcache (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.

Заражено значений реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:
C:\Documents and Settings\LocalService\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.

Заражено файлов:
C:\Documents and Settings\urusco\DoctorWeb\Quarantine\9.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Help\kfdtk.chm (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\dlds8.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vx.tll (Malware.Trace) -> No action taken.
C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> No action taken.[/CODE]
11.03.2010, 16:45
Anton_ua

все сделал. пока работает, НО
Недоступен ни 1 сайт производителей антивирусов
в HOSTS были закомментареные строки
#AAW 127.0.0.1 microsoft.com
#AAW 127.0.0.1 downloads4.kaspersky-labs.com
#AAW 127.0.0.1 downloads3.kaspersky-labs.com
#AAW 127.0.0.1 downloads2.kaspersky-labs.com
#AAW 127.0.0.1 downloads1.kaspersky-labs.com
#AAW 127.0.0.1 downloads-us1.kaspersky-labs.com
#AAW 127.0.0.1 rads.mcafee.com
#AAW 127.0.0.1 liveupdate.symantecliveupdate.com
#AAW 127.0.0.1 liveupdate.symantec.com
#AAW 127.0.0.1 update.symantec.com
#AAW 127.0.0.1 [url]www.grisoft.com[/url]
#AAW 127.0.0.1 windowsupdate.microsoft.com
#AAW 127.0.0.1 [url]www.lavasoftusa.com[/url]
#AAW 127.0.0.1 downloads2.kaspersky-labs.com
#AAW 127.0.0.1 downloads4.kaspersky-labs.com
#AAW 127.0.0.1 downloads1.kaspersky-labs.com
#AAW 127.0.0.1 mcafee.com
#AAW 127.0.0.1 [url]www.pandasoftware.com[/url]
#AAW 127.0.0.1 [url]www.sophos.com[/url]
#AAW 127.0.0.1 [url]www.Kaspersky.com[/url]
#AAW 127.0.0.1 my-etrust.com
#AAW 127.0.0.1 [url]www.f-secure.com[/url]
#AAW 127.0.0.1 www3.ca.com
#AAW 127.0.0.1 us.mcafee.com
#AAW 127.0.0.1 symantec.com
#AAW 127.0.0.1 [url]www.avp.ch[/url]
#AAW 127.0.0.1 download.mcafee.com
#AAW 127.0.0.1 securityresponse.symantec.com
#AAW 127.0.0.1 microsoft.com
#AAW 127.0.0.1 [url]www.my-etrust.com[/url]
#AAW 127.0.0.1 [url]www.viruslist.com[/url]
#AAW 127.0.0.1 avp.com
#AAW 127.0.0.1 ca.com
#AAW 127.0.0.1 f-secure.com
#AAW 127.0.0.1 kaspersky.com
#AAW 127.0.0.1 mast.mcafee.com
#AAW 127.0.0.1 networkassociates.com
#AAW 127.0.0.1 sophos.com
127.0.0.1 localhost
127.0.0.1 mpa.one.microsoft.com
11.03.2010, 16:50
Alex Plutoff

-по умолчанию должны быть только запись [B]127.0.0.1 localhost[/B]
11.03.2010, 16:52
thyrex

+ к [B]Alex Plutoff[/B]

Базы AVZ у Вас очень древние
Сделайте лог virusinfo_syscheck.zip [B]полиморфным[/B] AVZ (ссылка в подписи)
11.03.2010, 16:52
Anton_ua

Все поудалял, но сайты всеравно недоступны! Притом я час назад качал с этого компьютера и с avast.com и drweb
11.03.2010, 16:54
thyrex

Прочтите сообщение перед последним Вашим
11.03.2010, 17:03
Anton_ua

ага, видел :)
11.03.2010, 17:32
thyrex

Это Кидо

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
11.03.2010, 18:34
Anton_ua

есть
11.03.2010, 21:17
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service zcethljym
gmer.exe -del file "C:\WINDOWS\system32\aanzly.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zcethljym"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\zcethljym"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.
12.03.2010, 14:14
Anton_ua

Скрипт выполнил, но на 1-й строке
gmer.exe -del service zcethljym
была ошибка - delete service Параметр задан неверно
Остальное выполнилось

Показывать 40 сообщений этой темы на одной странице