|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Подозрение на вирусы, блокирующие службы Сервер |
|
||||
|
|
[решено] Подозрение на вирусы, блокирующие службы Сервер
|
|
Новый участник Сообщения: 11 |
Периодически слетает служба Сервер. В системном журнале сообщение: "Служба Сервер остановлена. Отказано в доступе." При попытке запустить службу вручную: "Ошибка 5: отказано в доступе". В свойствах службы: Тип запуска - Авто, вход от имени - Локальная система, включено взаимодействие с рабочим столом. Исполняемый файл - С:\WINDOWS\system32\svchost.exe -k netsvcs.
Проверила компьютер на вирусы Сureit-ом, вирусов не обнаружено. Проверила разрешения на ветки в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost - все нормально, путь для запуска службы в параметре ImagePath - %SystemRoot%\system32\svchost.exe -k netsvcs. Файлы srvsvc.dll, hnetcfg.dll, svchost.exe на месте. Служба запускается только при удалении/установки Службы доступа к файлам и принтерам сетей Microsoft, но это не выход каждый раз перезагружать компьютер при удалении/установке этой службы. Логи прикрепляю, прошу помочь. |
|
|
Отправлено: 06:26, 23-04-2011 |
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать teamviewer- вы сами устанавливали ?
Скачивали утилиту klwk.com ? • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код:
 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\01.tmp','');
QuarantineFile('c:\program files\sbersign\testhash.bat','');
DeleteFile('c:\windows\system32\01.tmp');
DeleteService('mgbkae');
DeleteService('nhtuzrc');
DeleteService('profdvnvq');
DeleteService('ulfad');
DeleteService('wyljzgp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.  , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.проверьте C:\WINDOWS\system32\dllhost.exe на http://www.virustotal.com результат\ссылку сообщите |
|
------- Последний раз редактировалось iskander-k, 23-04-2011 в 21:17. Отправлено: 21:08, 23-04-2011 | #2 |
|
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать Цитата iskander-k:
Цитата iskander-k:
quarantine.zip отправила, результат сообщу. ссылка на проверку файла dllhost.exe: http://www.virustotal.com/file-scan/...e3b-1303687523 |
||
|
Отправлено: 03:36, 25-04-2011 | #3 |
|
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать Я отправляла архив quarantine.zip через форму, а ответ куда придет?
|
|
Отправлено: 10:05, 25-04-2011 | #4 |
|
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать Я вам сообщу когда будут данные.
Что с проблемой ? Обновите базы АВЗ. Новые логи АВЗ сделайте. |
|
|
------- Отправлено: 12:07, 25-04-2011 | #5 |
|
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать Цитата iskander-k:
логи сейчас сделаю |
|
|
Отправлено: 12:37, 25-04-2011 | #6 |
|
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать Прикрепляю логи AVZ
|
|
Отправлено: 14:19, 25-04-2011 | #7 |
|
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать • Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. |
|
------- Отправлено: 15:14, 25-04-2011 | #8 |
|
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать |
|
------- Отправлено: 20:36, 25-04-2011 | #9 |
|
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать Malwarebytes' Anti-Malware
Код:
1.50.1.1100 www.malwarebytes.org Версия базы данных: 6439 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 26.04.2011 8:43:20 mbam-log-2011-04-26 (08-43-20).txt Тип сканирования: Полное сканирование (C:\|E:\|F:\|) Просканированные объекты: 320836 Времени прошло: 1 часов, 48 минут, 51 секунд Заражённые процессы в памяти: 0 Заражённые модули в памяти: 0 Заражённые ключи в реестре: 0 Заражённые параметры в реестре: 0 Объекты реестра заражены: 3 Заражённые папки: 0 Заражённые файлы: 11 Заражённые процессы в памяти: (Вредоносных программ не обнаружено) Заражённые модули в памяти: (Вредоносных программ не обнаружено) Заражённые ключи в реестре: (Вредоносных программ не обнаружено) Заражённые параметры в реестре: (Вредоносных программ не обнаружено) Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Заражённые папки: (Вредоносных программ не обнаружено) Заражённые файлы: c:\program files\total commander\Soft\fitW\fitW.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. c:\system volume information\_restore{1508bb30-3f1b-4337-a1ec-d1944f1b783d}\RP1\A0000965.exe (Virus.Expiro) -> Quarantined and deleted successfully. c:\system volume information\_restore{1508bb30-3f1b-4337-a1ec-d1944f1b783d}\RP1\A0002435.exe (Virus.Expiro) -> Quarantined and deleted successfully. c:\system volume information\_restore{1508bb30-3f1b-4337-a1ec-d1944f1b783d}\RP19\A0007392.exe (Virus.Expiro) -> Quarantined and deleted successfully. e:\program files\WinRAR\kgwinrar.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully. f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050186.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully. f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050197.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully. f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050789.exe (Trojan.Downloader) -> Quarantined and deleted successfully. f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050917.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully. f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050961.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050985.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully. |
|
Последний раз редактировалось iskander-k, 26-04-2011 в 21:49. Причина: лог в теги Отправлено: 02:44, 26-04-2011 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Подозрение на вирусы | StuffLive | Лечение систем от вредоносных программ | 7 | 21-04-2011 13:38 | |
| [решено] Generic Host Process for Win32 Services и подозрение на вирусы | pika | Лечение систем от вредоносных программ | 19 | 15-02-2010 15:16 | |
| Вопрос - подозрение на вирусы | Nayan | Защита компьютерных систем | 1 | 20-10-2009 12:47 | |
| [решено] Подозрение на вирусы | _TTT_ | Лечение систем от вредоносных программ | 8 | 04-04-2009 19:52 | |
| [решено] Подозрение на вирусы | santana109 | Лечение систем от вредоносных программ | 36 | 29-01-2009 09:22 | |
|
|
Время: 03:21. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
