Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] NT authority sevices.exe status 1073741819 (http://forum.oszone.net/showthread.php?t=179564)

Sp1tF1r3 01-07-2010 11:09 1445088
NT authority sevices.exe status 1073741819
 
Вложений: 3
Тоже столкнулся с такой проблемой. Сайты антивирусов не работают, все как у предыдущих жертв.
заранее спасибо.
Логи Hijackthis, AVZ, RSIT прикрепляю

help? 01-07-2010 11:24 1445105
Привет:)
Выполните, пожалуйста, все рекомендации, даже когда доступ к сайтам появится.
Пофиксить
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7b0d0c2d.exe,\\?\globalroot\systemroot\system32\6bHLFpb.exe,
2.Выполните скрипт в авз:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Flashcontrol\','');
QuarantineFile('C:\WINDOWS\system32\oxvNGqd.exe','');
QuarantineFile('C:\WINDOWS\system32\7b0d0c2d.exe','');
QuarantineFile('C:\WINDOWS\Temp\LOCK.EXE','');
QuarantineFile('C:\WINDOWS\system32\6bHLFpb.exe','');
 QuarantineFile('C:\WINDOWS\system32\icardres.dll.mui','');
QuarantineFile('C:\System Volume Information\_restore{69EDB8A9-0F2B-4199-9DE5-ECAF5B466572}\RP16\A0004026.exe','');
QuarantineFile('C:\Documents and Settings\Администратор.USER\Local Settings\Temporary Internet Files\Content.IE5\7M4NZXC1\a7d06a4a[1].exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\6bHLFpb.exe','');
 QuarantineFile('C:\WINDOWS\system32\7b0d0c2d.exe','');
 QuarantineFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\vtayn.sys','');
 QuarantineFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\o1s5CX8Y.sys','');
 DeleteFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\o1s5CX8Y.sys');
DeleteFile('C:\WINDOWS\Temp\LOCK.EXE');
DeleteFile('C:\System Volume Information\_restore{69EDB8A9-0F2B-4199-9DE5-ECAF5B466572}\RP16\A0004026.exe');
DeleteFile('C:\WINDOWS\system32\oxvNGqd.exe');
DeleteFile('C:\WINDOWS\system32\7b0d0c2d.exe');
DeleteFile('C:\WINDOWS\system32\6bHLFpb.exe');
 DeleteFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\vtayn.sys');
DeleteFile('C:\Documents and Settings\Администратор.USER\Local Settings\Temporary Internet Files\Content.IE5\7M4NZXC1\a7d06a4a[1].exe');
 DeleteFile('C:\WINDOWS\system32\7b0d0c2d.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\6bHLFpb.exe');
DelWinlogonNotifyByKeyName('winxje32');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('vtayn');
BC_DeleteSvc('o1s5CX8Y');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
3.После перезагрузки выполнить второй скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\fu3TAzU.exe
C:\WINDOWS\system32\DYSeg5b.exe
C:\WINDOWS\system32\jNEpkrV.exe
C:\WINDOWS\system32\RZCAOAw.exe
C:\WINDOWS\system32\fDNUUVK.exe
C:\WINDOWS\system32\KTt3QMS.exe
C:\WINDOWS\system32\Mgg9L5s.exe
C:\WINDOWS\system32\Lwg4lIk.exe
C:\WINDOWS\system32\kKPTPoc.exe
C:\WINDOWS\system32\iad8Srn.exe
C:\WINDOWS\system32\Py654x2.exe
C:\WINDOWS\system32\i2UGKZV.exe
C:\WINDOWS\system32\xRsog2Q.exe
C:\WINDOWS\system32\DTyX6PS.exe
C:\WINDOWS\system32\xi4XlX6.exe
C:\WINDOWS\system32\P4fqVrn.exe
C:\WINDOWS\system32\oxvNGqd.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\6bHLFpb.exe
C:\WINDOWS\system32\7b0d0c2d.exe

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winxje32]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.
Содержимое папки C:\_OTM заархивируйте и отправьте на почтовый адрес:
Anti-Spyware2010atyandex.ru
at=@
После этого повторите логи:
авз, попытайтесь запустить обычную версию и обновить её.
Логи RSIT(лог hjt хайджека не надо).
А также:
Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
C:\Program Files\Flashcontrol
Вы сами это устанавливали, известно?

Sp1tF1r3 01-07-2010 12:40 1445175
Большое спасибо, приступаю

Архив 3 МБ, не влезает в форму

help? 01-07-2010 12:53 1445186
отправьте на почтовый адрес:
Anti-Spyware2010atyandex.ru
at=@
(с заменой адреса на @)

Sp1tF1r3 01-07-2010 13:15 1445201
Вложений: 2
Новые RSIT

help? 01-07-2010 13:21 1445202
Архивы получил-посмотрю.Логи RSIT посмотрю тоже.Ну нужны еще эти логи:
gmer;
новые логи авз(обычной версии и не забудьте базы обновить).

Sp1tF1r3 01-07-2010 13:22 1445203
Gmer нашел что-то в system32/svchost ([AUTO]lwmzisil) во время автопроверки и предложил проверить более тщательно, выполняю.

help? 01-07-2010 13:31 1445212
Да, у вас там активный зверь сидит.

Sp1tF1r3 01-07-2010 13:53 1445232
Но разве скрипты не должны были его убрать? в ходе проверки гмером вылетел бсод.
Логи АВЗ (нормального, с обновленными базами)

help? 01-07-2010 14:02 1445245
Жалко.Тогда так:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Sp1tF1r3 01-07-2010 15:40 1445322
Вложений: 1
Gmer закончил проверку, сообщил, что нашел руткит. Только вот как его убить?

help? 01-07-2010 16:02 1445339
Отключите антивирусы и/или фаерволы.Отключитесь от интернета.Выгрузите прикладное ПО.
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service lwmzisil
gmer.exe -del file "C:\WINDOWS\system32\zgynj.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lwmzisil"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\lwmzisil"
gmer.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
C:\Program Files\DAEMON Tools Lite на время сканирование его отключите/выгрузите, из-за него скорее всего был BSOD.
Также повторите один лог авз-virusinfo_syscheck.zip

Sp1tF1r3 01-07-2010 19:17 1445488
gmer проводил скан несколько часов, и при попытке сохранить лог завис, однако же вроде ничего необычного не нашел.
до этого выполнил батник, вылезала ошибка - невозможно удалить файл (2 действие) и неправильный параметр (3), но при повторном запуске батника после ребута тот файл уже был не найден.
Лог avz:

Sp1tF1r3 01-07-2010 19:25 1445496
сильно упало быстродействие компа. Подозреваемый - AVG 9 , который я в панике установил, а потом не смог удалить - анинсталл выдавал ошибки, в итоге половину его файлов я удалил тупо вручную, а половина защищена и работает - кк убить его?))

help? 01-07-2010 19:29 1445499
Обязательно обновите Internet Explorer(даже если не пользуетесь!)
обновите вашу версию Adobe до новой версии Adobe Acrobat
Файлы я отправил на исследование.
Проблем больше нет?:)
http://support.kaspersky.ru/kis2010/...?qid=208636384
Здесь описано, как его удалить.

Sp1tF1r3 01-07-2010 19:39 1445505
Вроде бы нет, премного благодарен ! Теперь можете грешить напропалую, доброе дело вы за сегодня сделали :)


Время: 14:51.

Время: 14:51.
© OSzone.net 2001-