-
Junior Member
- Вес репутации
- 58
Проблема. servises.exe и svchost.exe
Здравствуйте, сегодня на компе обнаружились два объекта:
servises.exe Троянский конь Generetic17.BKCS
svchost.exe Троянский конь SpamTool.FYS
Антивирус с этим ничего сделать не может, пишет: "Объект не доступен".
Компьютер и интернет сильно тупят, не открываются многие сайты. Ваш сайт и форум, VirusInfo, тоже нормально не открывается, точнее открываются лишь некоторые разделы и то не всегда и очень долго, кое-как сейчас закконектился и создал тему.
Логи прикрепить не могу, т.к. не помню, как они делаются, ваш тред с правилами и инструкцией по этому поводу опять-же не открывается, пробовал целый день. Не могли бы вы, уважаемые Модераторы, скопипастить сюда эту инструкцию, чтобы я всё правильно сделал и прислал вам логи.
Спасибо, надеюсь на помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 58
-
-
-
Junior Member
- Вес репутации
- 58
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('srservice');
QuarantineFile('srservice.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteService('protect');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\1dde8e1a.exe','');
QuarantineFile('C:\WINDOWS\system32\azszgt.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\WINDOWS\system32\azszgt.exe');
DeleteFile('C:\WINDOWS\system32\1dde8e1a.exe');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
BC_DeleteSvc('protect');
DeleteFile('srservice.sys');
BC_DeleteSvc('srservice');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(16);
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Olejah
Системное восстановление не отключается. Пишет "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите компьютер и повторите попытку."
Несколько раз перезагружался - всё тоже самое.
Добавлено через 5 минут
Выполнять процедуру без отключения Восстановления Системы?
Последний раз редактировалось Eshenko; 05.10.2010 в 22:03.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 58
Всё сделал.
Карантин прикрепил
Файл сохранён как 101005_221847_quarantine_4cab6c07ac76a.zip
Размер файла 514661
MD5 c9108355700776d69f3a21c7572025a4
Вроде всё нормально заработало.
-
C:\WINDOWS\system32\Drivers\NDIS.sys - этот файл нужно обязательно заменить чистым с дистрибутива..
-
-
Junior Member
- Вес репутации
- 58
Спасибо.
Однако файла NDIS.sys у меня нету и взять негде.
Остаётся только переустанавливать систему?
-
У меня во вложении чистый файл NDIS.sys. Возьмите его, распакуйте и замените им заражённый.
Последний раз редактировалось olejah; 29.10.2010 в 18:16.
-
-
Junior Member
- Вес репутации
- 58
Архив не распаковывается.
WinRar: Диагностические сообщения
D:\ndis.zip: Невозможно создать ndis.sys
Отказано в доступе.
Возможно-ли выложить файл не в архиве?
Добавлено через 18 минут
Также пытался разархивировать непосредственно в C:\WINDOWS\system32\drivers - всё равно отказывает в доступе.
Последний раз редактировалось Eshenko; 05.10.2010 в 23:42.
Причина: Добавлено
-
Распакуйте на рабочем столе.
Замену файла производите в безопасном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Bratez
Распакуйте на рабочем столе.
Не распаковывается
WinRar: Диагностические собщения
С:\Documents and Settings\User\Рабочий стол\ndis.zip: Невозможно создать ndis.sys
Отказано в доступе.
Дело не в винраре, другие архивы нормально распаковывает.
-
Заменяйте, загрузившись с консоли восстановления или LiveCD
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\atapidrv.sys - Rootkit.Win32.Agent.blls ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Trojan.Fakealert.17769, AVAST4: Win32:FakeAV-ANE [Rtk] )
- c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
- c:\\windows\\system32\\userini.exe - Trojan-Dropper.Win32.HDrop.abi ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.574, AVAST4: Win32:Crypto-G [Drp] )
-