Процесс "C:\WINDOWS\services.exe" и не только...

[Aowl]

Сегодня подцепил какую-то заразу :-( Зараза прилепила в браузер (браузеры) порнографический баннер и попросила отправить смс для его удаления.

Заразу эту я убил антивирусом (NOD) и вот этой утилитой: http://www.iobit.com/exedll/ie4uinit-exe.html
Что именно помогло - сказать затрудняюсь, но в браузерах теперь чисто.

Однако, какая-то гадость в системе, похоже, осталась. Что-то постоянно ломится в сеть и при перезагрузке открывает папку "Мои документы". Антивирусами не диагностируется. Сам грешу на процесс C:\WINDOWS\services.exe. Утилита AVZ мои опасения разделяет.

Логи прилагаю. Буду очень признателен за помощь.

[thyrex]

Пофиксить в HiJack

Код:

 F2 - REG:system.ini: UserInit=Userinit.exe,Userinit.exe
O4 - HKLM\..\Run: [Microsoft Internet Agent] c:\windows\system32\winagent.exe
O4 - HKCU\..\Run: [sms] C:\WINDOWS\mkchik.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\WINDOWS\mkchik.exe','');
 QuarantineFile('c:\windows\system32\winagent.exe','');
 DeleteFile('c:\windows\system32\winagent.exe');
 DeleteFile('C:\WINDOWS\mkchik.exe');
 DeleteFile('C:\WINDOWS\services.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Aowl]

thyrex, большое спасибо за ответ! Инструкции выполнил. Единственное "но" - не нашел в HiJack строку:

F2 - REG:system.ini: UserInit=Userinit.exe,Userinit.exe

Ее не было. Остальные строки профиксил.

Стало лучше. В сеть так же настырно, как раньше, ничего не ломится.
Однако, при старте винды попрежнему открывается (в проводнике) папка "Мои документы". Такого раньше никогда не было. Подозрительно?

Карантин загрузил. Логи сделал. На этот раз использовал полиморфный AVZ.

[thyrex]

Единственное "но" - не нашел в HiJack строку:

Плохо искали. Она есть и в этом логе HiJack.
Пофиксите и сообщите, решилась ли проблема

[Aowl]

Разул глаза. Нашел. Профиксил. Проблема решилась.

Простите за невнимательность. Большое спасибо за помощь!

[thyrex]

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8

[Aowl]

Установите SP3 (может потребоваться активация)

Скорее всего - потребуется :-) Пока рисковать не хочется.

Установите Internet Explorer 8

Попробую.

Спасибо за советы!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\services.exe - Backdoor.Win32.Delf.pzd ( DrWEB: Trojan.Blackmailer.1265 )
  2. c:\windows\system32\winagent.exe - Trojan-Downloader.Win32.Agent.cikg ( DrWEB: Trojan.Click.26125 )