Появилась новая служба

[COLOR=black][FONT=Verdana]Три дня назад появилась новая служба PGLLEWB. Прописалась в реестре 13,01.2010г. В этот же день у меня было автоматическое обновление Windows XP PRO. Что это за служба пока выяснить не могу. [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Вот мои логи. [/FONT][/COLOR]

Логи-то не положил

А где логи?
Угу, вижу :)

Вложил

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\Installer\{B0255743-165B-4BD5-8DA8-37DFB993B201}\SecurityV2i1_A8EA8A55FDBE4875B598DDC15B298265.exe','');
BC_QrSvc('PGLLEWB');
QuarantineFile('PGLLEWB.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
[url]http://virusinfo.info/showthread.php?t=3519[/url]

Выполнил Ваши скрипты и загрузил по указанному адресу два zip файла.
Жду дальнейших указаний

[QUOTE='Nikkollo;562244']Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".[/QUOTE]
Этот файл надо было в этой теме загрузить. Сделайте пож-ста.

У меня есть там папка Qurantine и файл qurantine.zip, но ни файл, не заархивированную папку отправить не получается. Выходит собщение: Ошибка загрузки. Файл не является архивом с карантином AVZ!!

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Наконец-то отправил и папку и файл.

Угу, спасибо, подождем ответа аналитиков.

Выслал

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Nikkollo
Эта служба включена в профиль оборудования. Вход в систему: “С системной учетной записью”, а так же стоит галочка “Разрешить взаимодействие с рабочим столом” Я ставлю эту службу на запрещение, но после перезагрузки она снова включена в “Profile 1” Хотя тип запуска этой службы стоит “Отключено” Мне бы узнать, что это за служба? Я бы все вычистил в реестре. А вдруг эта служба Майкрософт?

Служба в карантин не попала.
Второй файл в карантине чистый.
Попробуйте поискать на диске С файл PGLLEWB.sys согласно приложению 2 и 3 правил.
Если найдется - загрузите по красной ссылке вверху темы "Прислать запрошенный карантин".

Добрый день Nikkollo.
Я уже искал его на всех дисках несколько раз, но бесполезно. В реестре тоже не мог обнаружить его пути. Все это странно, сделал свое грязное дело и исчез. Я проверялся вчера и сегодня многими антивирусами скачанными перед этим. Ничего не было найдено. Только что закончил проверку вот на этом сайте: [url]http://onecare.live.com/site/ru-ru/default.htm#[/url]
Может мне почистить реестр от его следов?

Добрый день.
Насчет "грязного дела" я не уверен, т.к. мы его не заполучили и не проверили на зловредность.
На всякий случай советую сменить все свои пароли.
Тоесть сейчас такая служба больше не наблюдается?
Сделайте на всякий случай еще раз лог virusinfo_syscheck.zip и приложите в теме.

Насчет чистки реестра - что мы будем чистить, если поиском ничего не находится? :)
Попробуйте еще раз сделать поиск в реестре по слову PGLLEWB.
Если что-то найдется, пока не удаляйте, просто скажите где он находится в реестре.

В реестре он прописан, но без определения его пути.
Вот я и хочу убрать все записи связанные с ним.

Можете показать записи в реестре, где он прописан?

Лог выполнял сейчас без отключений в реестре библиотек Avira, просто сделал ее не активным. Записей в реестре несколько. Постараюсь выложить позднее

Выложил, но не все

Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
[url]http://virusinfo.info/showthread.php?t=40118[/url]
и приложите его в теме.

Почистил реестр, правда, некоторые ветки чистил с особыми разрешениями. Служба PGLLEWB пропала. Можно ли приводить систему с полной защитой и восстановлением?
Жду Вашего ответа.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Хорошо, сейчас будет.

Выложил Gmer.log

Жду дальнейших указаний

По логу гмер ничего подозрительного не нашел.

Ну, тогда все. Восстанавливаю все настройки как были. Будем надеяться на все хорошее. Все же странно, что этот вирус ничем себя не проявлял. создал новую службу и тихо сидел в системе.
Nikkollo огромное Вам спасибо за полезную работу.
Желаю счастья Вам и Вашим близким.
С уважением к Вам Николай.

Я не могу однозначно сказать, был ли это вирус или нет.
Если обнаружите анамальное поведение в системе, мы будем вам опять рады попытаться помочь.
Вам тоже счастья и здоровья.
Кстати, если не затруднит, то мы вам будем очень благодарны:
[url]http://virusinfo.info/showthread.php?t=3519[/url]

Мне тоже непонятно, как возникла эта служба и кто ее родитель? Обязательно сообщу и выложу Вам, если что-то обнаружится.
Но такого у меня еще не было, да и вирус ловил по собственной дурости раза 2 за год, когда при скачивании чего-либо происходила блокировка, и мне приходилось отключать защиту.
Еще раз огромное Вам спасибо
С уважением Николай

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]