Userinit.exe, services.exe, svchost.exe

[SIZE=3][FONT=Times New Roman]Здравствуйте уважаемые хелперы,[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]неделю назад получил подозрительное сообщение –[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]всплывший в трее желтый щиток-значок похожий на обновления Windows заявил что, "обновления для Windows готовы". В инфе о контенте обновлений говорилось, что это якобы какой-то tool для удаления вредного ПО. Значок просил кликнуть и начать установку. При клике – все было очень похоже на Windows, но внешний вид не смахивал на ХР. [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]При выключении и перезагрузке компьютера автоматической установки такого обновления не происходило.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Все таки кликнул "установить", уповая на самантек – сейчас жалею.[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Результат – все программы, кроме самых необходимых или ненужных, были удалены из автозагрузки, включая самантек. Вместо этого там прописались userinit.exe и services.exe. Они также облюбовали стандартные папки [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]c:\Documents and settings\Administrator [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]c:\Documents and settings\user, [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]c:\Documents and settings\user\local settings\temp[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]и некоторые другие.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Со всех известных мест их (кажется) удалось выкурить только после удаления (fix) подозрительного файла, обнаруженного HJ. Он был прописан как "C:/WINDOWS/system32/userinit.exe,..." - после запятой имя файла (не помню). Как описывают некоторые люди здесь (случайно нашел яндексом)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman][URL="http://www.cracklab.ru/f/forprint.php?topic_id=6500"][COLOR=#800080]http://www.cracklab.ru/f/forprint.php?topic_id=6500[/COLOR][/URL][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]цитата с сайта: "C:/WINDOWS/system32/userinit.exe, так вот после запятой прописываем путь где находится трой..."[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]После удаления файла, userinit в автозагрузку больше не лез. Сейчас там о нем "сидит" запись (в отключенном состоянии). Но интернетом по прежнему пользоваться чрезвычайно сложно - самантек постоянно сообщает, что svchost требует доступа в интрернет используя не опознанные модули. Тоже самое он сообщает если другие программы просятся в интренет, в том числе iexplorer.exe. Жаловался даже на собственный файл апдейта[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\Symantec\LiveUpdate\LuComServer_2_5[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]После обновления (вручную) баз, update который и без того expired, вообще накрылся и просит переустановки.[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Неоднократно заменял userinit.exe, services.exe, svchost.exe копируя со здоровой машины. Svchost по прежнему рвется в инет, а самантек предлагает не пускать. Если не пускать веб- страницы не загружаются. [/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Вот тут нашел списки левых служб svchost [URL="http://www.softboard.ru/index.php?showtopic=51976"][COLOR=#800080]http://www.softboard.ru/index.php?showtopic=51976[/COLOR][/URL][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]При помощи Reanimator (от Greatis) у себя нашел 3:[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Browser[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]LmHosts[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]W32Time[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Самантек и доктор ничего не находят.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Присоединяю логи.[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Заранее премного благодарен за помощь.[/FONT][/SIZE]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=26510[/url]).
Сделайте новые логи, начиная с п.10 правил.

Карантин выслал, логи прилагаю.
Очень признателен за оперативный отклик.

Буду ждать результатов.

В карантине [b]Trojan-Downloader.Win32.Agent.wbs[/b]

Логи чистые. Проблема решена?

Огромное спасибо.

Но как быть блуждающим во тьме?
Интернет работает, страницы грузятся, однако можно ли быть уверенным, что это именно от того, что было проведено лечение, а не то что изменены настройки Самантека и он просто больше не выдает сообщений?
Очень не хотелось бы чтобы остатки троянов что-то отправляли "хозяину".
Нортон и Доктор- то оказались слепы.
Можно ли что-нибудь предпринять?

и еще - не оч. понятно - в карантин пошли svchost и services, так они же при каждой загрузке в процессах сидят. Может они и сейчас инфицированы тоже?

Обновляйте базы почаще.
Ну и сами бдительность не теряйте.
А панацеи, к сожалению, не существует.

История все же продолжается...
Самантек не перестал, и до сих пор сообщает что программы, пытающиеся войти в интренет используют неопознанные модули.
При очередной попытке зайти на сайт virusinfo - сообщение что эксплорер выполнил недоп операцию и будет закрыт. Повторялось из раза в раз.

Тогда был удален файл svchost.exe при помощи Реаниматора. Заменен на другой с чистой машины. Ситуация с эксплорером улучшилась однако самантек - все выдает сообщения и появились проблемы в системе: не загружается volume control в трэй и вообще нет звука. Плюс накрылся Wifi.
По моему система не долечилась. Полный депрессняк!

Присоединяю логи. Если чисты...тогда "можно вешаться" - как искать заразу?

Если можно, посоветуйте пожалуйста - как восстановить функциональность системы? Точек восстановления нет + оно отключено.

SOS!!!

и еще только что обнаружил - беспроводное сетевое соединение не работает, но выдает подозрительную вещь

беспр сет соед - отключить:

"Невозможно отключить подключение в данный момент. Возможно, данное подключение использует один из протоколов, которые не поддерживают "Plug-and-Play" либо оно было инициировано другим пользвателем или системной учетной записью."

Какая другая ? У меня то запись - по дефолту админ!

Хелп!!!

ничего вредного не видно ... запущено просто куча всего , лишнего ....
1 остановить потециально опасные службы
2 лишний софт убрать ...

Ну хорошо, уповаю на экспертов... хотя AVZ одну длл-ку в карантин даже запустил для сохранности, чего раньше не делал. Видимо ложная тревога?

А как отключить потенц опасные службы?
Отключил вот одну... (svchost) теперь ни звука нет, ни интернета .. :(

Не могли бы вы посоветовать как восстановить работоспособность компьютера ? - это же не нормально когда он только через динамик общается и при этом к интренету доступа нет (все таже ошибка). Включить восстановление системы он вообще не хочет - "ошибка восстановления системы при вкл/выкл одного или неск устройств. Перезагрузите компьютер и повторите попытку".
Признаю, видимо что-то и сам испортил.

По поводу софта - да, множество бесполезностей прилагалось, но сейчас с в трее кроме самантека, эл питания и глушеного интернет соединения ничего нет вообще. Или что-то еще работает из-под полы?

[QUOTE=EvgenyS;256215]
Отключил вот одну... (svchost) теперь ни звука нет, ни интернета .. :(
[/QUOTE]
такой службы нет .... svchost.exe запускает два десятка служб ...(естественно все отключать нельзя)
что и как вы пытались отключить ?

Запустил Reanimator (от Greatis) - бесплатная утилита поставляемая с RegRun [url]http://www.greatis.com/security/[/url]
Сам антивирус оч не понавился кстати.

Далее- список запущенных служб - там отметил галкой службы
Browser
LmHosts
W32Time
FastUserSwitchingCompatibil

все вызваны процессами svchost.exe и отмечены как ненужные на сайте softboard (ссылка выше)

нажал "удалить службу (файл)"
Видимо он кинулся вырывать с корнями все что знал о svchost.exe

ставте галку обратно .... у вас локальная сеть есть ?

Локальной сети нет...
Есть здоровая машина.

так что предпринять? или это уже за рамками местного форума?

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 56 минут[/I][/B][/color][/size]

Хочу напомнить о себе. Можно ли что-нибудь посоветовать?

(или если последние вопросы совсем не соответствуют форуму - сообщите.
Ну наверное, и тему тогда можно закрыть).

выполните скрипт ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]
ну и ферволл установите ....

Большое спасибо.
Выполнил скрипты.
Беспроводное соединие не настраивается - видимо не хватает еще каких-то служб. Но есть прогресс - оключить его стало можно. Кроме того не работает служба справки и поддержки. Volume control по прежнему в трей не загружается (видимо также не запущены службы).
Нельзя ли похожим способом восстановить и эти службы?

Windows еще службы криптографии спрашивала между делом.

авз - диспетчер служб и драйверов - службы сделайте лог и приложите ...

Вот протокол.

выполните скрипт ...
[code]
begin
SetServiceStart('helpsvc', 2);
SetServiceStart('CryptSvc', 2);
SetServiceStart('Dhcp', 2);
RebootWindows(true);
end.
[/code]

Все по старому: ни звука, ни соединения.
По моему нет этих служб
Windows Audio
Беспроводная настройка

и прочих
или они вообще не могут быть запущены, в результате удаления.

Службы справки и поддержки тоже нет.

На всякий случай - новый протокол прилагаю.

выполните скрипт ....
[code]
begin
SetServiceStart('AudioSrv',2);
SetServiceStart('helpsvc',2);
SetServiceStart('CryptSvc',2);
SetServiceStart('Dhcp',2);
RebootWindows(true);
end.
[/code]

Выполнил.
Это бесполезно.
Services.msc и svchost.exe я заменял на стандартные, до выполнения скриптов. Скрипты должны были запустить службы - о них ни слуху ни духу.
Я удалил Реаниматором 3 (максимум 4 файла), они все имели отношение к перечисленным службам вызываемым svchost.exe.
Я не знаю как работают службы и что им необходимо для того чтобы вообще быть в списке Services.msc. Но если бы то что им было нужно присутствовало в системе - они бы уже работали.
Чего не хватает я не знаю. Если бы знал - скопировал с другой машины.
Как узнать что им необходимо? может какие-то длл?
Мне кажется скриптом запуска служб их не восстановить.

попробуйте переустановить сп3 ...

Да уже много раз пробовал - пишет что Windows не может определить целостность файла Update.inf (или Update.что-то еще), убедитесь что службы криптографии запущены на этом компьютере.

Большое спасибо, что еще пытаетесь помочь.

правильно update.inf ... вы его правили ?

Не прикасался, даже не знаю где он.

[QUOTE=EvgenyS;256742]пишет что Windows не может определить целостность файла Update.inf (или Update.что-то еще), убедитесь что службы криптографии запущены на этом компьютере.[/QUOTE]
[url]http://support.microsoft.com/kb/822798/ru[/url]

Пробовал все способы по 7. Способ 8 и последующие еще не выполнял.

при записи строки
"net stop cryptsvc"
в cmd
выдает сообщение что
"ошибка номер 1028 (или другой номер)
данная служба не установлена"

запустить бы ее как-нибудь..

Пробовал заменять длл, копируя из ХР3 - cryptui почему то кем-то использовался - это нормально?
А служба ScriptBlockingService должна быть "авто"?

заменять длл-ки не нужно просто пререгестрируйте как написано в ссылке ... затем выполните последний скрипт ...