Показано с 1 по 8 из 8.

SERVICES.EXE бомбит популярные сайты (заявка № 78424)

  1. #1
    Junior Member Репутация
    Регистрация
    15.05.2010
    Сообщений
    4
    Вес репутации
    29

    Thumbs up SERVICES.EXE бомбит популярные сайты

    Доброго времени суток, господа специалисты! Честно скажу - очень редко обращался за помощью по поводу вирей, ибо стерильность компа - моя шиза и я сам всё прекрасно чистил. Однако в этот раз я запустил рабочий комп, так как использовал долгое время ноутбук, и обнаружил что мой SERVICES.EXE ведёт себя наглым образом - при подключении к интернету начинает усиленно ДДОСить сайты:
    google.com
    yahoo.com
    wikipedia.org
    slashdot.org
    aol.com
    microsoft.com
    youtube.com...

    ...ну и так далее. Спустя какое-то время, приблизительно раз в час, начал долбиться на тонну спамосайтов, названия которых я даже перечислить не смогу и больше всего запросов идёт на
    Код:
    Block activity for application SERVICES.EXE	SERVICES.EXE	rev.opentransfer.com.*рандомноеайпи*.in-addr.arpa	n/a	Unknown	TCP
    Сам SERVICES.EXE вроде жив-здоров, изменений в нём не производилось... Во всяком случае об этом говорят дата изменения и копирайты мелокософта, посему рискну предположить что это какая-то левая зараза его использует.

    До обращения сюда проверялся ДрВебом с последними базами - нашел в папке автозагрузки запрятаный "wwwzuc32.exe" и в папке system32 нашёл "drwat32.exe" - всё изничтожил, однако безобразия не прекратились - думаю, не в них дело...

    Пока удалось анально огородить запросы фаерволом, но всётаки хотелось бы стерильности... Поможете?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
     DeleteFile('C:\WINDOWS\system32\drwat32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     Executerepair(1);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

    Сделайте лог Gmer

  4. #3
    Junior Member Репутация
    Регистрация
    15.05.2010
    Сообщений
    4
    Вес репутации
    29
    shapel,
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drwat32.exe',' ');
    DeleteFile('C:\WINDOWS\system32\drwat32.exe');
    Сделал, но смысла в этом не было, так как я уже говорил - файл мною успешно грохнут, разве что ключик остался. Посему в карантине файлы тоже нулевого размера. Лог ГМЕРа приаттачиваю.

    Что, собстно, удалось найти ещё:
    - Файломоном удалось обнаружить что в c:\WINDOWS\system32\drivers\ каждую секунду обновляется драйвер "gghden.sys" (вес 755200 байт) - ни убить, ни положить в карантин в нормальном режиме низя - если надо - выловлю в безопасном.
    - Есть большое подозрение на ЭТОТ руткит.

    Any ideas?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится rrhnvu0m.exe случайное имя утилиты (gmer)
    Код:
    rrhnvu0m.exe -del service gghden
    rrhnvu0m.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gghden"
    rrhnvu0m.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gghden"
    rrhnvu0m.exe -reboot
    И запустите сохранённый пакетный файл cleanup.bat.
    Внимание: Компьютер перезагрузится!
    Сделайте новый лог gmer.

  6. #5
    Junior Member Репутация
    Регистрация
    15.05.2010
    Сообщений
    4
    Вес репутации
    29
    shapel,
    Увы! Эти ключи анально огорожены от действий кого бы то ни было по неизвестной причине. ГМЕР ругается что не может их удалить ("Не найден указаный модуль"), а ручками данный раздел реестра даже открыть не получается - "Ошибка открытия раздела". Весёлая вирусня! XD

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    C:\WINDOWS\system32\drivers\gghden.sys - файл поищите и попробуйте его куда-нибудь скопировать, если получится сделать, то позже пришлите его по правилам.
    попробуйте так, Сохраните текст ниже как cleanup.bat в ту же папку, где находится rrhnvu0m.exe (gmer)
    Код:
    rrhnvu0m.exe -del service gghden
    rrhnvu0m.exe -del file "C:\WINDOWS\system32\drivers\gghden.sys"
    rrhnvu0m.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gghden"
    rrhnvu0m.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gghden"
    rrhnvu0m.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!
    Сделать новый лог gmer.

  8. #7
    Junior Member Репутация
    Регистрация
    15.05.2010
    Сообщений
    4
    Вес репутации
    29
    Вообщем всё, всем спасибо - проблема решена. Причину вы указали верную, но ни ГМЕР, ни какой-либо другой антивирь с ней нормально не справится. Вот лицо нашего врага - "Trojan.WinSpy.713" по версии Dr.Web. Увидеть и удалить он эту штуку не мог, потому как она каждую секунду обновлялась. В безопасном режиме тоже самое, поэтому я пошёл по пути наименьшего сопротивления - подрубил винт к ноуту и грохнул его - тут то Доктор и завизжал ^^.

    Короче, панацея:
    - Загрузиццо с ЛайвЦД, грохнуть файл "c:\WINDOWS\SYSTEM32\drivers\gghden.sys"
    - Перезагрузиццо
    - Удалить ключ "HKLM\SYSTEM\CurrentControlSet\Services\gghden "
    - Удалить ключ "HKLM\SYSTEM\ControlSet002\Services\gghden"
    - ???
    - PROFIT!

    З.Ы. - Сувенир на память высылаю по правилам

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\black ace\рабочий стол\avz4\gghden.sys - Rootkit.Win32.Bubnix.s ( DrWEB: Trojan.WinSpy.713, BitDefender: Backdoor.Generic.351368, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Black Ace, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 10.02.2011, 22:21
    2. Ответов: 9
      Последнее сообщение: 03.01.2011, 22:58
    3. Не открываются популярные сайты о вирусах
      От Bladegnat в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 05.04.2010, 10:33
    4. В России все популярные сайты получат статус СМИ
      От ALEX(XX) в разделе Новости интернет-пространства
      Ответов: 4
      Последнее сообщение: 13.02.2008, 10:25
    5. Названы самые популярные сайты в мире
      От orvman в разделе Новости интернет-пространства
      Ответов: 2
      Последнее сообщение: 17.05.2006, 10:37

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00349 seconds with 16 queries