-
Junior Member
- Вес репутации
- 54
Вирус в Services.exe !!!
Доброго времени суток, помогите,пожалуйста, решить такоую проблемму. На компьютере с недавних пор, какие-то вирусы(я так думаю), интернет трафик жрут, постоянно соединяется через services.exe с какимито портами, это видно в Eset Smart security.Ничего не помогает.В начале работы, когда я коннектюсь с инетом, то можно отключить этот процесс services.exe в Eset Smart security. Но вот после перезагрузки компа он опять включается-только когда коннектюсь с инетом.Очень много жрет трафика-переданых,полученых данных.Помогите, что можно сделать??Спасибо
P.S.Всю диагностику провел,как и написано, только вот файл avz_log.txt у меня заменяет файл virusinfo_syscheck.zip,так как после 2й проверки компа в папке LOG у меня не появилось.Я разве только смог в программе справа "Сохранить протокол" и образовался файл avz_log.txt .Так же у меня там появился файл virusinfo_cure ,пока не вылаживаю-Вы писали.
Последний раз редактировалось PavelA; 19.09.2009 в 17:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте, пожалуйста, лог GMER (см. раздел ЧаВо).
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 54
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service 404f43a6
gmer.exe -del file "\SystemRoot\System32\drivers\404f43a6.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\404f43a6"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\404f43a6"
gmer.exe -reboot
И запустите cleanup.bat. Компьютер перезагрузится.
Повторите лог гмер.
-
-
Junior Member
- Вес репутации
- 54
я извиняюсь...
но я не совсем знаю как сохранить текст (код) как cleanup.bat .Мне нужно в папке где gmer.exe создать какой-то документ(если да-как поставить расширение .bat-не пойму),а потом туда его скопировать и сохранить? и через что этот cleanup.bat запускать?Подскажите,пожалуйста, не совсем понимаю как сделать этот файл.
-
Взять блокнот и сохранить как BAT-файл (копировать в него текст выше - сохранить как - тип файлов ставим на "все файлы" - как имя файла выбираем cleanup.bat)
-
-
Junior Member
- Вес репутации
- 54
Все сделал...
Спасибо за подсказку.В процессе-после запуска cleanup.bat комп не перезагрузился, а выключился просто.Обратно вкл и просканировал.Данные в файле gmer2.log
Жду дальнейших указаний.Кстати, services.exe сейчас отправляет данных очень мало- где-то 50кб за час,а вот получает много по-прежнему.Установил еще outpost Firewall сегодня лицензионку.
-
заново выполните рекомендации из поста 4 ...
что пишет при выполнении ?
-
-
Junior Member
- Вес репутации
- 54
пост 4
Вы имеете ввиду нужно выполнить опять вот это:
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service 404f43a6
gmer.exe -del file "\SystemRoot\System32\drivers\404f43a6.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\404f43 a6"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\404f43a6"
gmer.exe -reboot
И запустите cleanup.bat. Компьютер перезагрузится.
Повторите лог гмер.
-
-
-
Junior Member
- Вес репутации
- 54
Сделал.
Все было в точности как в прошлый раз, но комп уже сам перезагрузился. ..
-
Давайте снова протокол GMER...
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 54
вот,пожалуйста...
А вот в файле eset1 -скриншот моего Eset Smart Security с раздела Сетевые подключения. Скрин был сделан как только включил инет. Как видно, уже вначале services.exe имеете 200 кб полученных данных. Далее,кстати,траффик жрет не так...может за час пол мб, по-разному.Может это уже нормально или нет?Ранее просто этот процесс не включался вообще при вкл инета.Может просто как-то запретить ему коннектиться с инетом и все?спасибо
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true,true);
BC_QrSvc('404f43a6');
BC_DeleteSvc('404f43a6');
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После этого загрузите карантин и повторите логи AVZ.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 54
///
А что значит -загрузить карантин?
-
Об этом рассказано в Правилах, приложение 3
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 54
Вот все данные, пожалуйста...
так же был получен архив virusinfo_cure .Не высылаю,как просили пока.
-
Прекрасно. Теперь для контроля еще раз (думаю, последний) подготовьте лог GMER.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 54
вот лог гмер
...Поставил антивирус Аваст и Outpost firewall pro ,может что лучше будет с защитой...
-
Удаление прошло успешно.
Как самочувствие?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]