-
Junior Member
- Вес репутации
- 58
Userinit.exe, services.exe, svchost.exe
Здравствуйте уважаемые хелперы,
неделю назад получил подозрительное сообщение –
всплывший в трее желтый щиток-значок похожий на обновления Windows заявил что, "обновления для Windows готовы". В инфе о контенте обновлений говорилось, что это якобы какой-то tool для удаления вредного ПО. Значок просил кликнуть и начать установку. При клике – все было очень похоже на Windows, но внешний вид не смахивал на ХР.
При выключении и перезагрузке компьютера автоматической установки такого обновления не происходило.
Все таки кликнул "установить", уповая на самантек – сейчас жалею.
Результат – все программы, кроме самых необходимых или ненужных, были удалены из автозагрузки, включая самантек. Вместо этого там прописались userinit.exe и services.exe. Они также облюбовали стандартные папки
c:\Documents and settings\Administrator
c:\Documents and settings\user,
c:\Documents and settings\user\local settings\temp
и некоторые другие.
Со всех известных мест их (кажется) удалось выкурить только после удаления (fix) подозрительного файла, обнаруженного HJ. Он был прописан как "C:/WINDOWS/system32/userinit.exe,..." - после запятой имя файла (не помню). Как описывают некоторые люди здесь (случайно нашел яндексом)
http://www.cracklab.ru/f/forprint.php?topic_id=6500
цитата с сайта: "C:/WINDOWS/system32/userinit.exe, так вот после запятой прописываем путь где находится трой..."
После удаления файла, userinit в автозагрузку больше не лез. Сейчас там о нем "сидит" запись (в отключенном состоянии). Но интернетом по прежнему пользоваться чрезвычайно сложно - самантек постоянно сообщает, что svchost требует доступа в интрернет используя не опознанные модули. Тоже самое он сообщает если другие программы просятся в интренет, в том числе iexplorer.exe. Жаловался даже на собственный файл апдейта
C:\Program Files\Symantec\LiveUpdate\LuComServer_2_5
После обновления (вручную) баз, update который и без того expired, вообще накрылся и просит переустановки.
Неоднократно заменял userinit.exe, services.exe, svchost.exe копируя со здоровой машины. Svchost по прежнему рвется в инет, а самантек предлагает не пускать. Если не пускать веб- страницы не загружаются.
Вот тут нашел списки левых служб svchost http://www.softboard.ru/index.php?showtopic=51976
При помощи Reanimator (от Greatis) у себя нашел 3:
Browser
LmHosts
W32Time
Самантек и доктор ничего не находят.
Присоединяю логи.
Заранее премного благодарен за помощь.
Последний раз редактировалось EvgenyS; 18.07.2008 в 10:55.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=26510).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Карантин выслал, логи прилагаю.
Очень признателен за оперативный отклик.
Буду ждать результатов.
Последний раз редактировалось EvgenyS; 18.07.2008 в 10:55.
-
В карантине Trojan-Downloader.Win32.Agent.wbs
Логи чистые. Проблема решена?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Огромное спасибо.
Но как быть блуждающим во тьме?
Интернет работает, страницы грузятся, однако можно ли быть уверенным, что это именно от того, что было проведено лечение, а не то что изменены настройки Самантека и он просто больше не выдает сообщений?
Очень не хотелось бы чтобы остатки троянов что-то отправляли "хозяину".
Нортон и Доктор- то оказались слепы.
Можно ли что-нибудь предпринять?
и еще - не оч. понятно - в карантин пошли svchost и services, так они же при каждой загрузке в процессах сидят. Может они и сейчас инфицированы тоже?
-
Обновляйте базы почаще.
Ну и сами бдительность не теряйте.
А панацеи, к сожалению, не существует.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
продолжение следует
История все же продолжается...
Самантек не перестал, и до сих пор сообщает что программы, пытающиеся войти в интренет используют неопознанные модули.
При очередной попытке зайти на сайт virusinfo - сообщение что эксплорер выполнил недоп операцию и будет закрыт. Повторялось из раза в раз.
Тогда был удален файл svchost.exe при помощи Реаниматора. Заменен на другой с чистой машины. Ситуация с эксплорером улучшилась однако самантек - все выдает сообщения и появились проблемы в системе: не загружается volume control в трэй и вообще нет звука. Плюс накрылся Wifi.
По моему система не долечилась. Полный депрессняк!
Присоединяю логи. Если чисты...тогда "можно вешаться" - как искать заразу?
Если можно, посоветуйте пожалуйста - как восстановить функциональность системы? Точек восстановления нет + оно отключено.
SOS!!!
Последний раз редактировалось EvgenyS; 18.07.2008 в 10:55.
-
Junior Member
- Вес репутации
- 58
и еще только что обнаружил - беспроводное сетевое соединение не работает, но выдает подозрительную вещь
беспр сет соед - отключить:
"Невозможно отключить подключение в данный момент. Возможно, данное подключение использует один из протоколов, которые не поддерживают "Plug-and-Play" либо оно было инициировано другим пользвателем или системной учетной записью."
Какая другая ? У меня то запись - по дефолту админ!
Хелп!!!
-
ничего вредного не видно ... запущено просто куча всего , лишнего ....
1 остановить потециально опасные службы
2 лишний софт убрать ...
-
-
Junior Member
- Вес репутации
- 58
Ну хорошо, уповаю на экспертов... хотя AVZ одну длл-ку в карантин даже запустил для сохранности, чего раньше не делал. Видимо ложная тревога?
А как отключить потенц опасные службы?
Отключил вот одну... (svchost) теперь ни звука нет, ни интернета ..
Не могли бы вы посоветовать как восстановить работоспособность компьютера ? - это же не нормально когда он только через динамик общается и при этом к интренету доступа нет (все таже ошибка). Включить восстановление системы он вообще не хочет - "ошибка восстановления системы при вкл/выкл одного или неск устройств. Перезагрузите компьютер и повторите попытку".
Признаю, видимо что-то и сам испортил.
По поводу софта - да, множество бесполезностей прилагалось, но сейчас с в трее кроме самантека, эл питания и глушеного интернет соединения ничего нет вообще. Или что-то еще работает из-под полы?
-
Сообщение от
EvgenyS
Отключил вот одну... (svchost) теперь ни звука нет, ни интернета ..
такой службы нет .... svchost.exe запускает два десятка служб ...(естественно все отключать нельзя)
что и как вы пытались отключить ?
-
-
Junior Member
- Вес репутации
- 58
Запустил Reanimator (от Greatis) - бесплатная утилита поставляемая с RegRun http://www.greatis.com/security/
Сам антивирус оч не понавился кстати.
Далее- список запущенных служб - там отметил галкой службы
Browser
LmHosts
W32Time
FastUserSwitchingCompatibil
все вызваны процессами svchost.exe и отмечены как ненужные на сайте softboard (ссылка выше)
нажал "удалить службу (файл)"
Видимо он кинулся вырывать с корнями все что знал о svchost.exe
Последний раз редактировалось EvgenyS; 17.07.2008 в 09:56.
Причина: Добавлено
-
ставте галку обратно .... у вас локальная сеть есть ?
-
-
Junior Member
- Вес репутации
- 58
Локальной сети нет...
Есть здоровая машина.
так что предпринять? или это уже за рамками местного форума?
Добавлено через 4 часа 56 минут
Хочу напомнить о себе. Можно ли что-нибудь посоветовать?
(или если последние вопросы совсем не соответствуют форуму - сообщите.
Ну наверное, и тему тогда можно закрыть).
Последний раз редактировалось EvgenyS; 17.07.2008 в 15:22.
Причина: Добавлено
-
выполните скрипт ....
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
ну и ферволл установите ....
-
-
Junior Member
- Вес репутации
- 58
Большое спасибо.
Выполнил скрипты.
Беспроводное соединие не настраивается - видимо не хватает еще каких-то служб. Но есть прогресс - оключить его стало можно. Кроме того не работает служба справки и поддержки. Volume control по прежнему в трей не загружается (видимо также не запущены службы).
Нельзя ли похожим способом восстановить и эти службы?
Windows еще службы криптографии спрашивала между делом.
Последний раз редактировалось EvgenyS; 17.07.2008 в 18:55.
-
авз - диспетчер служб и драйверов - службы сделайте лог и приложите ...
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось EvgenyS; 18.07.2008 в 10:55.
-
выполните скрипт ...
Код:
begin
SetServiceStart('helpsvc', 2);
SetServiceStart('CryptSvc', 2);
SetServiceStart('Dhcp', 2);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 58
Все по старому: ни звука, ни соединения.
По моему нет этих служб
Windows Audio
Беспроводная настройка
и прочих
или они вообще не могут быть запущены, в результате удаления.
Службы справки и поддержки тоже нет.
На всякий случай - новый протокол прилагаю.
Последний раз редактировалось EvgenyS; 18.07.2008 в 10:55.