-
Junior Member
- Вес репутации
- 61
Не могу запустить сетевые службы после лечения ПК
Здравствуйте, срочно нужна помощь профессионалов. После лечения ПК KIS 2011 пропал интернет и не запускаются сетевые службы, выдает ошибку 1068: не возможно запустить дочернюю службу. поэтому делал скритпы avz без обновления баз и с флешки т.к. не работет копирование с флешки, 1-й скрипт делал без выключения восстановления системы т.к. программно выдавало ошибку о невозможности откл. восстановления системы, не работает служба Windows installer поэтому не смог сделать логи HijackThis.
если в моем случае можно что-нибудь сделать буду очень рад скорой помощи, спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\vir.wsf','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\wabaprnlib.dll','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe,explorer.exe,C:\RECYCLER\S-1-5-21-5162149165-2776614330-524904157-6869\syscr.exe,Explorer.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\vopgq.cc3','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\scnnj.cc3','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\dujcl.cc3','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
QuarantineFile('C:\WINDOWS\system32\1SGOWHT3\E001.exe','');
QuarantineFile('C:\WINDOWS\system32\TH2HL1MK\A89.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\lanmao.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\xiaozu.exe','');
QuarantineFile('C:\WINDOWS\zsfdsfrwq3.exe','');
QuarantineFile('C:\Program Files\Microsoft\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\1SGOWHT3\F001.exe','');
QuarantineFile('c:\program files\microsoft\svchost.exe','');
QuarantineFile('c:\windows\system32\1sgowht3\f001.exe','');
QuarantineFile('c:\windows\system32\wabaprnlib.dll','');
DeleteFile('c:\windows\system32\wabaprnlib.dll');
DeleteFile('c:\windows\system32\1sgowht3\f001.exe');
DeleteFile('c:\program files\microsoft\svchost.exe');
DeleteFile('C:\WINDOWS\system32\1SGOWHT3\F001.exe');
DeleteFile('C:\Program Files\Microsoft\svchost.exe');
DeleteFile('C:\WINDOWS\zsfdsfrwq3.exe');
DeleteFile('C:\Program Files\Internet Explorer\xiaozu.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\lanmao.exe');
DeleteFile('C:\WINDOWS\system32\TH2HL1MK\A89.exe');
DeleteFile('C:\WINDOWS\system32\1SGOWHT3\E001.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\dujcl.cc3');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\scnnj.cc3');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\vopgq.cc3');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe,explorer.exe,C:\RECYCLER\S-1-5-21-5162149165-2776614330-524904157-6869\syscr.exe,Explorer.exe');
DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\wabaprnlib.dll');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\vir.wsf');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_DeleteSvc('catchme');
BC_DeleteSvc('DwProt');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=90070).
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Не могу запустить сетевые службы после лечения ПК
базы avz обновил, высылаю новые логи
-
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\documents and settings\all users\application data\storm\update\Console\vopgq.cc3');
DeleteFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('nkdiqfjj');
BC_Activate;
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните скрипт из этой темы:
http://virusinfo.info/showthread.php?t=43700.
Сделайте новый лог virusinfo_syscheck (п.2 Диагностики).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Bratez; 18.10.2010 в 16:02.
-
Выполните скрипт в AVZ в безопасном режиме:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\documents and settings\all users\application data\storm\update\Console\vopgq.cc3');
ExecuteSysClean;
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters','ServiceDll');
RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\xiaozu.exe - Trojan-Dropper.Win32.Agent.cank ( DrWEB: BackDoor.Darkshell.246, BitDefender: Backdoor.Generic.332451, NOD32: Win32/Agent.OEZ trojan, AVAST4: Win32:Malware-gen )
- c:\\program files\\microsoft\\svchost.exe - Trojan.Win32.Agent.fxbf ( DrWEB: BackDoor.Siggen.26908, BitDefender: Trojan.Generic.4985227, NOD32: Win32/Agent.OUB trojan, AVAST4: Win32:PcClient-ZE [Trj] )
- c:\\windows\\system32\\wabaprnlib.dll - Net-Worm.Win32.Kolab.lyb ( DrWEB: Trojan.MulDrop1.49526, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-LC [Trj] )
- c:\\windows\\system32\\1sgowht3\\f001.exe - Trojan-Banker.Win32.Bancos.qjc ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Generic.4932070, AVAST4: Win32:Malware-gen )
- c:\\windows\\zsfdsfrwq3.exe - Backdoor.Win32.Httpbot.anb ( DrWEB: BackDoor.Darkshell.77, BitDefender: Backdoor.Darkshell.K, AVAST4: Win32:Dropper-HZR [Drp] )
- f:\\autorun.inf - Worm.VBS.VirusProtection.f ( NOD32: VBS/AutoRun.CI worm, AVAST4: VBS:Malware-gen )
-
