внезапное завершение работы (остановлен sevice.exe с кодом 204)

[Azoth]

Здравствуйте.
С недавних пор после подключения к интернету через разные промежутки времени, варьирующиеся от нескольких минут до пары часов, появляется окошко (к сожалению точный текст не записал, но смысл я думаю понятен). "Система экстренно завершает работу. Отключение вызвано NT_AUTHORITY/SYSTEM. Остановлен процесс service.exe с кодом состояния 203" (иногда не 203 а 204). Идет обратный отчет времени и система перезагружается.
На компьютере установлен Outpost Firewall 4.0.964.6926 (591) и NOD32 2.7 (версия сигнатур 2225)
при подключении к интернету в файерволле сразу несколько процессов SVCHOST и n\a пытаются лезть в интернет.
Проверил систему программой CureIt. Было найдено несколько троянцев. После этого система два дня работала стабильно, никакие лишние процессы в файерволле не регистрировались. Однако, теперь возникла та же самая проблема, а CureIt уже не находит новых вирусов.
Прилагаю логи AVZ и HiJakcTthis как указано в правилах.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 BC_QrSvc('pe386');
 BC_DeleteSvc('pe386');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

Потом ещё один

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\vsc32cnf.cpl','');
 QuarantineFile('C:\WINDOWS\System32\BBPDFPortMon.dll','');
 QuarantineFile('C:\WINDOWS\System32\3339_32.dll','');
 QuarantineFile('\SystemRoot\System32\DRIVERS\vbtenum.sys','');
RebootWindows(false);
end.

После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Повторите логи, а также добавьте файл boot_clr.log из папки AVZ.

[Azoth]

Выполнил скрипты
вот новые логи
Карантин закачал через "прислать запрошенные файлы" имя файла 070430_180550_virus_4635f7be98feb.zip

[Макcим]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\3339_32.dll');
ExecuteSysClean;
ClearHostsFile;
RebootWindows(false);
end.

После перезагрузки "пофиксите" в HijackThis

Код:

O21 - SSODL: DCOM Server 3339 - {2C1CD3D7-86AC-4068-93BC-A02304BB3339} - C:\WINDOWS\System32\3339_32.dll (file missing)

Вам знакомы адреса components.viewpoint.com и download.ewido.net? Если нет, тогда пофиксите ещё и эти строки

Код:

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

Повторите логи.

[Azoth]

Скрипты выполнил
В Hijack О16 пофиксил.
Только строчки O21 - SSODL: DCOM Server 3339 - {2C1CD3D7-86AC-4068-93BC-A02304BB3339} - C:\WINDOWS\System32\3339_32.dll (file missing) там уже не было.
И еще при выполнении скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" AVZ самопроизвольно выключился. При повторе сработал нормально.
Прикрепляю логи.

[drongo]

1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine();
 QuarantineFile('C:\Books\rev24.doc','');
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
2.А что у вас от касперского стоит(драйвер klif.sys его активный ) ? у вас же Nod и Outpost ? Так нельзя
3.Рекомендуется поставить SP2 и все заплатки после него.

[Azoth]

Скрипт выдает ошибку "Undecleared identifier ClearQarantine в позиции 4:16"

Касперкский когда-то стоял, видать снес некорректно. Как можно подчистить что от него осталось?
SP2 и заплатки постараюсь поставить в ближайшее время.
А собственно, каков диагноз исходя из описанных в первом посте синдромов? И была ли исправлена проблема уже произведенными действиями?

[drongo]

Скрипт выдает ошибку "Undecleared identifier ClearQarantine в позиции 4:16"

Касперкский когда-то стоял, видать снес некорректно. Как можно подчистить что от него осталось?
SP2 и заплатки постараюсь поставить в ближайшее время.
А собственно, каков диагноз исходя из описанных в первом посте синдромов? И была ли исправлена проблема уже произведенными действиями?

Вы слишком рано выполнили, я потом исправил Попробуйте ещё раз .

[drongo]

Есть утилита на сайте каспера . , Хотя можно и вот так :

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\drivers\klif.sys' );
ExecuteSysClean;
RebootWindows(true);
end.

[Azoth]

Скрипт выполнил, присылаю карантин
файл 070430_223317_virus1_4636366df3145.zip

[Макcим]

Проблема сохраняется?

[Azoth]

Благодарю уважаемых модераторов за оперативность и поддержку!
Процессов, лезущих в интернет не стало.
Однако, насколько я понимаю, вердикт подводить еще рано т.к. в прошлые разы проблема появлялась через несколько часов подключения к интернету.
Надеюсь, что на этот раз все будет в порядке.

Не могли бы вы пояснить, что же было с моим компьютером. Трояны? Они попали используя уязвимости операционной системы? Может ли оутпост 4 противостоять таким атакам?
Постараюсь в ближайшее время поставить SP2

[Макcим]

Точно был руткит и ещё какая-то гадость. Как они попали сказать не могу.
Вы можете нас отблагодарить так Мы будем Вам очень благодарны!
В качестве вариантов ещё почитайте тут и тут

Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.

Удачи!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 15
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32:lzx32.sys - Trojan.Win32.Agent.aiy (DrWEB: Trojan.Spambot)