Проблема. servises.exe и svchost.exe

**Eshenko** · 05.10.2010, 17:50

Здравствуйте, сегодня на компе обнаружились два объекта:
servises.exe Троянский конь Generetic17.BKCS
svchost.exe Троянский конь SpamTool.FYS
Антивирус с этим ничего сделать не может, пишет: "Объект не доступен".
Компьютер и интернет сильно тупят, не открываются многие сайты. Ваш сайт и форум, VirusInfo, тоже нормально не открывается, точнее открываются лишь некоторые разделы и то не всегда и очень долго, кое-как сейчас закконектился и создал тему.

Логи прикрепить не могу, т.к. не помню, как они делаются, ваш тред с правилами и инструкцией по этому поводу опять-же не открывается, пробовал целый день. Не могли бы вы, уважаемые Модераторы, скопипастить сюда эту инструкцию, чтобы я всё правильно сделал и прислал вам логи.
Спасибо, надеюсь на помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Eshenko** · 05.10.2010, 18:22

вот лог hijackthis

**Nikkollo** · 05.10.2010, 18:28

Оффлайн-версия правил:
http://virusinfo.info/soft/rules.zip
http://depositfiles.com/files/fpq87wsr9

**Eshenko** · 05.10.2010, 18:55

Спасибо.
Вот логи

**olejah** · 05.10.2010, 21:19

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteService('srservice');
 QuarantineFile('srservice.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 DeleteService('protect');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\system32\1dde8e1a.exe','');
 QuarantineFile('C:\WINDOWS\system32\azszgt.exe','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 DeleteFile('C:\WINDOWS\system32\azszgt.exe');
 DeleteFile('C:\WINDOWS\system32\1dde8e1a.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 BC_DeleteSvc('protect');
 DeleteFile('srservice.sys');
 BC_DeleteSvc('srservice');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(16);
 ExecuteRepair(20);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

**Eshenko** · 05.10.2010, 22:03

Сообщение от Olejah

Отключите
- Системное восстановление

Системное восстановление не отключается. Пишет "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите компьютер и повторите попытку."
Несколько раз перезагружался - всё тоже самое.

Добавлено через 5 минут

Выполнять процедуру без отключения Восстановления Системы?

**olejah** · 05.10.2010, 22:03

Пропускайте пункт.

**Eshenko** · 05.10.2010, 22:20

Всё сделал.
Карантин прикрепил

Файл сохранён как 101005_221847_quarantine_4cab6c07ac76a.zip
Размер файла 514661
MD5 c9108355700776d69f3a21c7572025a4

Вроде всё нормально заработало.

**olejah** · 05.10.2010, 22:42

C:\WINDOWS\system32\Drivers\NDIS.sys - этот файл нужно обязательно заменить чистым с дистрибутива..

**Eshenko** · 05.10.2010, 23:09

Спасибо.

Однако файла NDIS.sys у меня нету и взять негде.
Остаётся только переустанавливать систему?

**olejah** · 05.10.2010, 23:14

У меня во вложении чистый файл NDIS.sys. Возьмите его, распакуйте и замените им заражённый.

**Eshenko** · 05.10.2010, 23:42

Архив не распаковывается.

WinRar: Диагностические сообщения
D:\ndis.zip: Невозможно создать ndis.sys
Отказано в доступе.

Возможно-ли выложить файл не в архиве?

Добавлено через 18 минут

Также пытался разархивировать непосредственно в C:\WINDOWS\system32\drivers - всё равно отказывает в доступе.

**Bratez** · 06.10.2010, 03:14

Распакуйте на рабочем столе.
Замену файла производите в безопасном режиме.

**Eshenko** · 06.10.2010, 11:09

Сообщение от Bratez

Распакуйте на рабочем столе.

Не распаковывается

WinRar: Диагностические собщения
С:\Documents and Settings\User\Рабочий стол\ndis.zip: Невозможно создать ndis.sys
Отказано в доступе.

Дело не в винраре, другие архивы нормально распаковывает.

**thyrex** · 06.10.2010, 11:36

Заменяйте, загрузившись с консоли восстановления или LiveCD

**CyberHelper** · 07.10.2010, 11:36

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 17
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\atapidrv.sys - Rootkit.Win32.Agent.blls ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Trojan.Fakealert.17769, AVAST4: Win32:FakeAV-ANE [Rtk] )
2. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
3. c:\\windows\\system32\\userini.exe - Trojan-Dropper.Win32.HDrop.abi ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.574, AVAST4: Win32:Crypto-G [Drp] )

Проблема. servises.exe и svchost.exe (заявка № 89321)

Опции темы

Проблема. servises.exe и svchost.exe

Антивирусная помощь

Итог лечения

Похожие темы

Проблема servises.exe, svchost.exe и др.

servises.exe

servises.exe

serviSes.exe

Servises.exe

Ваши права в разделе