Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Подозрение на вирусы, блокирующие службы Сервер (http://forum.oszone.net/showthread.php?t=205455)

Olguna 23-04-2011 06:26 1664215
Подозрение на вирусы, блокирующие службы Сервер
 
Вложений: 1
Периодически слетает служба Сервер. В системном журнале сообщение: "Служба Сервер остановлена. Отказано в доступе." При попытке запустить службу вручную: "Ошибка 5: отказано в доступе". В свойствах службы: Тип запуска - Авто, вход от имени - Локальная система, включено взаимодействие с рабочим столом. Исполняемый файл - С:\WINDOWS\system32\svchost.exe -k netsvcs.
Проверила компьютер на вирусы Сureit-ом, вирусов не обнаружено. Проверила разрешения на ветки в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost - все нормально, путь для запуска службы в параметре ImagePath - %SystemRoot%\system32\svchost.exe -k netsvcs.
Файлы srvsvc.dll, hnetcfg.dll, svchost.exe на месте.
Служба запускается только при удалении/установки Службы доступа к файлам и принтерам сетей Microsoft, но это не выход каждый раз перезагружать компьютер при удалении/установке этой службы.
Логи прикрепляю, прошу помочь.

iskander-k 23-04-2011 21:08 1664543
teamviewer- вы сами устанавливали ?
Скачивали утилиту klwk.com ?


Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\01.tmp','');
 QuarantineFile('c:\program files\sbersign\testhash.bat','');
 DeleteFile('c:\windows\system32\01.tmp');
 DeleteService('mgbkae');
 DeleteService('nhtuzrc');
 DeleteService('profdvnvq');
 DeleteService('ulfad');
 DeleteService('wyljzgp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.



проверьте C:\WINDOWS\system32\dllhost.exe на http://www.virustotal.com

результат\ссылку сообщите

Olguna 25-04-2011 03:36 1665184
Цитата:
Цитата iskander-k
teamviewer- вы сами устанавливали ? »
да, в настоящее время я удаленно работаю с этим компьютером.
Цитата:
Цитата iskander-k
Скачивали утилиту klwk.com ? »
да, я проверяла компьютер на kido.

quarantine.zip отправила, результат сообщу.

ссылка на проверку файла dllhost.exe:
http://www.virustotal.com/file-scan/...e3b-1303687523

Olguna 25-04-2011 10:05 1665275
Я отправляла архив quarantine.zip через форму, а ответ куда придет?

iskander-k 25-04-2011 12:07 1665348
Я вам сообщу когда будут данные.

Что с проблемой ?

Обновите базы АВЗ. Новые логи АВЗ сделайте.

Olguna 25-04-2011 12:37 1665371
Цитата:
Цитата iskander-k
Что с проблемой ? »
проблема осталась
логи сейчас сделаю

Olguna 25-04-2011 14:19 1665423
Прикрепляю логи AVZ

iskander-k 25-04-2011 15:14 1665460
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

iskander-k 25-04-2011 20:36 1665608
• Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Olguna 26-04-2011 02:44 1665756
Malwarebytes' Anti-Malware
Код:

1.50.1.1100
www.malwarebytes.org

Версия базы данных: 6439

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2011 8:43:20
mbam-log-2011-04-26 (08-43-20).txt

Тип сканирования: Полное сканирование (C:\|E:\|F:\|)
Просканированные объекты: 320836
Времени прошло: 1 часов, 48 минут, 51 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 0
Заражённые файлы: 11

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\program files\total commander\Soft\fitW\fitW.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1508bb30-3f1b-4337-a1ec-d1944f1b783d}\RP1\A0000965.exe (Virus.Expiro) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1508bb30-3f1b-4337-a1ec-d1944f1b783d}\RP1\A0002435.exe (Virus.Expiro) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1508bb30-3f1b-4337-a1ec-d1944f1b783d}\RP19\A0007392.exe (Virus.Expiro) -> Quarantined and deleted successfully.
e:\program files\WinRAR\kgwinrar.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050186.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050197.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050789.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050917.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050961.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050985.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

Olguna 26-04-2011 05:44 1665775
Вложений: 1
Логи Gmer.

Drongo 26-04-2011 16:00 1665967
Olguna, лог гмер чист.

iskander-k 26-04-2011 21:51 1666221
Что с проблемой ?

Olguna 27-04-2011 03:04 1666365
Проверяла еще утилитой от Касперского (Virus Removal Tool) - логи чистые, VRT удалил из карантина DrWeb-а тьму файлов, зараженых вирусом Kido. Сделала восстановление системных файлов командой sfc /scannow.
За 18 часов работы служба пока ни разу не остановилась, пару дней понаблюдаю, потом отпишусь.
Спасибо за помощь.

Olguna 30-04-2011 15:12 1668032
Все работает. Еще раз спасибо за помощь.


Время: 00:04.

Время: 00:04.
© OSzone.net 2001-