Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] nt authority system services.exe 1073741819 №2 (http://forum.oszone.net/showthread.php?t=178496)

Инь 18-06-2010 10:23 1436549
nt authority system services.exe 1073741819 №2
 
Вложений: 2
Возникла проблема аналогичная описанной в этой: http://forum.oszone.net/thread-177753.html теме.
Симптомы почти те же - антивирусы нечем помочь немогут, сайты разработчиков антивирусов недоступны.
Установлена Xp sp2.

Поскльку z-oleg.com в числе заблокированных - сканирование делал програмкой VRT.

Прошу помощи -(

thyrex 18-06-2010 10:52 1436576
Сделайте логи таким AVZ

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Инь 18-06-2010 14:03 1436765
Вложений: 2
  • info.txt (14.60 KB, скачиваний: 10)
  • log.txt (38.90 KB, скачиваний: 13)
Логи avz и rsit сделаны

thyrex 18-06-2010 14:25 1436784
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\kkbd3z9.exe,\\?\globalroot\systemroot\system32\ZoLhNW5.exe,\\?\globalroot\systemroot\system32\FF9IxT6.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ZoLhNW5.exe','');
QuarantineFile('C:\WINDOWS\system32\FF9IxT6.exe','');
QuarantineFile('C:\WINDOWS\system32\Nmnr0F6.exe','');
QuarantineFile('C:\WINDOWS\system32\3zBj0ei.exe','');
QuarantineFile('C:\WINDOWS\system32\5An5YKg.exe','');
QuarantineFile('C:\WINDOWS\system32\kgzlOaf.exe','');
QuarantineFile('C:\WINDOWS\system32\L3u2HIo.exe','');
QuarantineFile('C:\WINDOWS\system32\WansMCy.exe','');
QuarantineFile('C:\WINDOWS\system32\uAXhySL.exe','');
QuarantineFile('C:\WINDOWS\system32\KFXEplx.exe','');
QuarantineFile('C:\WINDOWS\system32\1Mjmf14.exe','');
QuarantineFile('C:\WINDOWS\system32\yCrzL6C.exe','');
QuarantineFile('C:\WINDOWS\system32\U04xfac.exe','');
QuarantineFile('C:\WINDOWS\system32\EXKsX5P.exe','');
QuarantineFile('C:\WINDOWS\system32\kGtweNv.exe','');
QuarantineFile('C:\WINDOWS\system32\VbzXaCd.exe','');
QuarantineFile('C:\WINDOWS\system32\yitQy78.exe','');
QuarantineFile('C:\WINDOWS\system32\IcGjd2H.exe','');
QuarantineFile('C:\WINDOWS\system32\IlJ9usR.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\kkbd3z9.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\ZoLhNW5.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\FF9IxT6.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\FF9IxT6.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ZoLhNW5.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\kkbd3z9.exe');
 DeleteFile('C:\WINDOWS\system32\IlJ9usR.exe');
 DeleteFile('C:\WINDOWS\system32\IcGjd2H.exe');
 DeleteFile('C:\WINDOWS\system32\yitQy78.exe');
 DeleteFile('C:\WINDOWS\system32\VbzXaCd.exe');
 DeleteFile('C:\WINDOWS\system32\kGtweNv.exe');
 DeleteFile('C:\WINDOWS\system32\EXKsX5P.exe');
 DeleteFile('C:\WINDOWS\system32\U04xfac.exe');
 DeleteFile('C:\WINDOWS\system32\yCrzL6C.exe');
 DeleteFile('C:\WINDOWS\system32\1Mjmf14.exe');
 DeleteFile('C:\WINDOWS\system32\KFXEplx.exe');
 DeleteFile('C:\WINDOWS\system32\uAXhySL.exe');
 DeleteFile('C:\WINDOWS\system32\WansMCy.exe');
 DeleteFile('C:\WINDOWS\system32\L3u2HIo.exe');
 DeleteFile('C:\WINDOWS\system32\kgzlOaf.exe');
 DeleteFile('C:\WINDOWS\system32\5An5YKg.exe');
 DeleteFile('C:\WINDOWS\system32\3zBj0ei.exe');
 DeleteFile('C:\WINDOWS\system32\Nmnr0F6.exe');
 DeleteFile('C:\WINDOWS\system32\FF9IxT6.exe');
 DeleteFile('C:\WINDOWS\system32\ZoLhNW5.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(19);
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи AVZ и RSIT

Инь 18-06-2010 15:03 1436810
Вложений: 2
  • info.txt (14.40 KB, скачиваний: 8)
  • log.txt (37.30 KB, скачиваний: 9)
Логи azv и rsit сделаны, с лабораторией каперского возникла проблема - максимальный размера файла отправки 1.5 мб, мой же quarantine весит 1.8 и отправлению поддаваться не желает.

thyrex 18-06-2010 15:48 1436835
Отправьте на newvirus@tut.by с указанной ссылкой на тему

Проблема решилась?

Пофиксите в HiJack
Код:
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -

Инь 18-06-2010 16:01 1436851
Фикс проведен, сайты разблокированы - ошибка сервис.ехе с первого раза непоявлялась, надеюсь пропала сконцами +)

Спасибо большое за помощь.

p.s. файл отправлен +)

thyrex 18-06-2010 16:12 1436861
Установите SP3 (может потребоваться активация) + все новые патчи


Время: 16:48.

Время: 16:48.
© OSzone.net 2001-