nt authority system services.exe

okshef · Конфигурация компьютера

-Lis-, давайте сначала пофиксим в HJT строчку

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\OuXyUaC.exe,\\?\globalroot\systemroot\system32\7Nc7L53.exe,\\?\globalroot\systemroot\system32\LyTyYBF.exe,\\?\globalroot\systemroot\system32\dbe7Yts.exe,

и выполним такой скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('\\?\globalroot\systemroot\system32\LyTyYBF.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\OuXyUaC.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\dbe7Yts.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После перезагрузки обновите базы AVZ и повторите все логи

-Lis- · Отправлено: **11:02, 29-06-2010** | #3

HijackThis фиксить не хочет, но скрипт помог, первый раз винда запустилась без моей помощи

Подскажите чего делать дольше чтобы окончательно избавиться от этого?

okshef · Конфигурация компьютера

Цитата okshef:

После перезагрузки обновите базы AVZ и повторите все логи »

-Lis- · Отправлено: **11:05, 29-06-2010** | #5

AVZ обновился)))), до этого не мог, щас сделаю новые логи и выложу их.

-Lis- · Отправлено: **11:17, 29-06-2010** | #6

Вот новые логи, и HijackThis профиксил)))

thyrex · Конфигурация компьютера

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

-Lis- · Отправлено: **11:28, 29-06-2010** | #8

Вот логи

thyrex · Конфигурация компьютера

Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\6Vg3gdX.exe
C:\WINDOWS\system32\gbuB5lt.exe
C:\WINDOWS\system32\eqFh9vz.exe
C:\WINDOWS\system32\SASy8VH.exe
C:\WINDOWS\system32\2nFjOat.exe
C:\WINDOWS\system32\c3b80fV.exe
C:\WINDOWS\system32\zB0blTb.exe
C:\WINDOWS\system32\RmF2lZR.exe
C:\WINDOWS\system32\KbIt2YP.exe
C:\WINDOWS\system32\HRJ9iC7.exe
C:\WINDOWS\system32\WLKGN2K.exe
C:\WINDOWS\system32\e6nDWO1.exe
C:\WINDOWS\system32\trLmu0s.exe
C:\WINDOWS\system32\iyBmDll.exe
C:\WINDOWS\system32\THFNpzO.exe
C:\WINDOWS\system32\gI9Pkig.exe
C:\WINDOWS\system32\DdUDRvN.exe
C:\WINDOWS\system32\CjNScNn.exe
C:\WINDOWS\system32\Cwxkl1S.exe
C:\WINDOWS\system32\8slKSX6.exe
C:\WINDOWS\system32\rID3h7Z.exe
C:\WINDOWS\system32\Iy3W85Q.exe
C:\WINDOWS\system32\ZtgBq0m.exe
C:\WINDOWS\system32\f1EJQPj.exe
C:\WINDOWS\system32\6D73xu9.exe
C:\WINDOWS\system32\46jIE01.exe
C:\WINDOWS\system32\hFbocSI.exe
C:\WINDOWS\system32\mwsl39v.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\KwoShpA.exe
C:\WINDOWS\system32\nbMVcfz.exe
C:\WINDOWS\system32\kyOZrpg.exe
C:\WINDOWS\system32\iRaR5Kh.exe
C:\WINDOWS\system32\6CWzlWB.exe
C:\WINDOWS\system32\ut7VEX0.exe
C:\WINDOWS\system32\c49Fp8m.exe
C:\WINDOWS\system32\4j5wdrg.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), заархивируйте и прикрепите к следующему сообщению.

-Lis- · Отправлено: **11:37, 29-06-2010** | #10

Чего делать далее?)))
А то как то не хочется, чтобы что нибудь осталось в системе)))