Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Появилась новая служба (заявка № 67511)

  1. #1
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37

    Thumbs up Появилась новая служба

    Три дня назад появилась новая служба PGLLEWB. Прописалась в реестре 13,01.2010г. В этот же день у меня было автоматическое обновление Windows XP PRO. Что это за служба пока выяснить не могу.
    Вот мои логи.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37

    Логи

    Логи-то не положил

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    А где логи?
    Угу, вижу
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. #4
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37
    Вложил

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\Installer\{B0255743-165B-4BD5-8DA8-37DFB993B201}\SecurityV2i1_A8EA8A55FDBE4875B598DDC15B298265.exe','');
     BC_QrSvc('PGLLEWB');
     QuarantineFile('PGLLEWB.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
    http://virusinfo.info/showthread.php?t=3519
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  7. #6
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37
    Выполнил Ваши скрипты и загрузил по указанному адресу два zip файла.
    Жду дальнейших указаний

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
    Этот файл надо было в этой теме загрузить. Сделайте пож-ста.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37
    У меня есть там папка Qurantine и файл qurantine.zip, но ни файл, не заархивированную папку отправить не получается. Выходит собщение: Ошибка загрузки. Файл не является архивом с карантином AVZ!!

    Добавлено через 4 минуты

    Наконец-то отправил и папку и файл.
    Последний раз редактировалось niknik; 16.01.2010 в 22:46. Причина: Добавлено

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Угу, спасибо, подождем ответа аналитиков.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37
    Выслал

    Добавлено через 9 минут

    Nikkollo
    Эта служба включена в профиль оборудования. Вход в систему: “С системной учетной записью”, а так же стоит галочка “Разрешить взаимодействие с рабочим столом” Я ставлю эту службу на запрещение, но после перезагрузки она снова включена в “Profile 1” Хотя тип запуска этой службы стоит “Отключено” Мне бы узнать, что это за служба? Я бы все вычистил в реестре. А вдруг эта служба Майкрософт?
    Последний раз редактировалось niknik; 16.01.2010 в 23:03. Причина: Добавлено

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Служба в карантин не попала.
    Второй файл в карантине чистый.
    Попробуйте поискать на диске С файл PGLLEWB.sys согласно приложению 2 и 3 правил.
    Если найдется - загрузите по красной ссылке вверху темы "Прислать запрошенный карантин".
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37
    Добрый день Nikkollo.
    Я уже искал его на всех дисках несколько раз, но бесполезно. В реестре тоже не мог обнаружить его пути. Все это странно, сделал свое грязное дело и исчез. Я проверялся вчера и сегодня многими антивирусами скачанными перед этим. Ничего не было найдено. Только что закончил проверку вот на этом сайте: http://onecare.live.com/site/ru-ru/default.htm#
    Может мне почистить реестр от его следов?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Добрый день.
    Насчет "грязного дела" я не уверен, т.к. мы его не заполучили и не проверили на зловредность.
    На всякий случай советую сменить все свои пароли.
    Тоесть сейчас такая служба больше не наблюдается?
    Сделайте на всякий случай еще раз лог virusinfo_syscheck.zip и приложите в теме.

    Насчет чистки реестра - что мы будем чистить, если поиском ничего не находится?
    Попробуйте еще раз сделать поиск в реестре по слову PGLLEWB.
    Если что-то найдется, пока не удаляйте, просто скажите где он находится в реестре.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  15. #14
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37
    В реестре он прописан, но без определения его пути.
    Вот я и хочу убрать все записи связанные с ним.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Можете показать записи в реестре, где он прописан?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  17. #16
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37
    Лог выполнял сейчас без отключений в реестре библиотек Avira, просто сделал ее не активным. Записей в реестре несколько. Постараюсь выложить позднее

  18. #17
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37
    Выложил, но не все

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
    http://virusinfo.info/showthread.php?t=40118
    и приложите его в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  20. #19
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37
    Почистил реестр, правда, некоторые ветки чистил с особыми разрешениями. Служба PGLLEWB пропала. Можно ли приводить систему с полной защитой и восстановлением?
    Жду Вашего ответа.

    Добавлено через 1 минуту

    Хорошо, сейчас будет.
    Последний раз редактировалось niknik; 17.01.2010 в 17:28. Причина: Добавлено

  21. #20
    Junior Member Репутация
    Регистрация
    27.03.2008
    Сообщений
    24
    Вес репутации
    37
    Выложил Gmer.log

  • Уважаемый(ая) niknik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 35
      Последнее сообщение: 23.02.2012, 11:29
    2. Появилась откула-то новая учетная запись
      От SerrNikk в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 29.08.2010, 10:24
    3. Ответов: 5
      Последнее сообщение: 27.11.2008, 11:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00442 seconds with 16 queries