Junior Member
Вес репутации
54
Процесс "C:\WINDOWS\services.exe" и не только...
Сегодня подцепил какую-то заразу :-( Зараза прилепила в браузер (браузеры) порнографический баннер и попросила отправить смс для его удаления.
Заразу эту я убил антивирусом (NOD) и вот этой утилитой: http://www.iobit.com/exedll/ie4uinit-exe.html
Что именно помогло - сказать затрудняюсь, но в браузерах теперь чисто.
Однако, какая-то гадость в системе, похоже, осталась. Что-то постоянно ломится в сеть и при перезагрузке открывает папку "Мои документы". Антивирусами не диагностируется. Сам грешу на процесс C:\WINDOWS\services.exe. Утилита AVZ мои опасения разделяет.
Логи прилагаю. Буду очень признателен за помощь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=Userinit.exe,Userinit.exe
O4 - HKLM\..\Run: [Microsoft Internet Agent] c:\windows\system32\winagent.exe
O4 - HKCU\..\Run: [sms] C:\WINDOWS\mkchik.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\mkchik.exe','');
QuarantineFile('c:\windows\system32\winagent.exe','');
DeleteFile('c:\windows\system32\winagent.exe');
DeleteFile('C:\WINDOWS\mkchik.exe');
DeleteFile('C:\WINDOWS\services.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
thyrex , большое спасибо за ответ! Инструкции выполнил. Единственное "но" - не нашел в HiJack строку:
F2 - REG:system.ini: UserInit=Userinit.exe,Userinit.exe
Ее не было. Остальные строки профиксил.
Стало лучше. В сеть так же настырно, как раньше, ничего не ломится.
Однако, при старте винды попрежнему открывается (в проводнике) папка "Мои документы". Такого раньше никогда не было. Подозрительно?
Карантин загрузил. Логи сделал. На этот раз использовал полиморфный AVZ.
Вложения
Сообщение от
Aowl
Единственное "но" - не нашел в HiJack строку:
Плохо искали. Она есть и в этом логе HiJack.
Пофиксите и сообщите, решилась ли проблема
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Разул глаза. Нашел. Профиксил. Проблема решилась.
Простите за невнимательность. Большое спасибо за помощь!
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Сообщение от
thyrex
Установите SP3 (может потребоваться активация)
Скорее всего - потребуется :-) Пока рисковать не хочется.
Сообщение от
thyrex
Установите Internet Explorer 8
Попробую.
Спасибо за советы!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 8 В ходе лечения обнаружены вредоносные программы:
c:\windows\services.exe - Backdoor.Win32.Delf.pzd ( DrWEB: Trojan.Blackmailer.1265 ) c:\windows\system32\winagent.exe - Trojan-Downloader.Win32.Agent.cikg ( DrWEB: Trojan.Click.26125 )