[решено] NT Authority System services.exe

icotonev · Отправлено: **16:44, 29-06-2010** | #2

Добрый день!

Пофиксить в HijackThis следующие строчки:

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\gtpmuhj.exe,\\?\globalroot\systemroot\system32\inrHlYg.exe,\\?\globalroot\systemroot\system32\h7bnW1c.exe,

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteAVUpdate;
 QuarantineFile('\\?\globalroot\systemroot\system32\h7bnw1c.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\inrhlyg.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\h7bnw1c.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\inrhlyg.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

+

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Повторите логи АВЗ + HijackThis !Что с проблемами?

help? · Отправлено: **16:48, 29-06-2010** | #3

Также перед выполнением повторных логов AVZ обновите базы(Файл/Обновление баз/пуск).

DarkingCat · Отправлено: **17:51, 29-06-2010** | #4

Эм...вот сейчас идет проверка MAM'ом, интересно просто, у меня антивирь (нод) ща ловит вирусы)))
на данный момент их 132)))так и должно быть?)
Сайты уже заработали^^Сенкс)

DarkingCat · mbam-log-2010-06-29 (17-29-49).txt

Вот.
Ответ от Лаб. Касперского:

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

inrhlyg.exe - Packed.Win32.Katusha.o

At the moment this file is detected with the latest antivirus bases.

Best Regards, Kaspersky Lab
---------------------------------------------------

DarkingCat · Отправлено: **20:21, 29-06-2010** | #6

Всем спасибо, все "починилось"^^

icotonev · Отправлено: **20:50, 29-06-2010** | #7

Не спешите!Мы еще не завершили!Дайте мне немного времени!

icotonev · Отправлено: **23:02, 29-06-2010** | #8

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ExecuteRepair(19);
RebootWindows(true);
end.

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\PNEBJVc.exe
C:\WINDOWS\system32\07meSf3.exe
C:\WINDOWS\system32\fWyGv18.exe
C:\WINDOWS\system32\3IKcMyq.exe
C:\WINDOWS\system32\98XTwiQ.exe
C:\WINDOWS\system32\CrUachf.exe
C:\WINDOWS\system32\hUkvI1Y.exe
C:\WINDOWS\system32\MLO798A.exe
C:\WINDOWS\system32\mxdZ9Ch.exe
C:\WINDOWS\system32\KhLKYSV.exe
C:\WINDOWS\system32\RSFA7WL.exe
C:\WINDOWS\system32\7jhltaS.exe
C:\WINDOWS\system32\4XeNWHC.exe
C:\WINDOWS\system32\b9u3Lvn.exe
C:\WINDOWS\system32\bNievqA.exe
C:\WINDOWS\system32\qXE5y0J.exe
C:\WINDOWS\system32\orFQGKg.exe
C:\WINDOWS\system32\aKQjI1y.exe
C:\WINDOWS\system32\vN7bc3J.exe
C:\WINDOWS\system32\DTF0xEZ.exe
C:\WINDOWS\system32\5Z2rScd.exe
C:\WINDOWS\system32\d9fZRlw.exe
C:\WINDOWS\system32\WVdcuT8.exe
C:\WINDOWS\system32\TvSx9Da.exe
C:\WINDOWS\system32\HnZLp8a.exe
C:\WINDOWS\system32\bP2XUto.exe
C:\WINDOWS\system32\ZqrtlU4.exe
C:\WINDOWS\system32\lkyC87o.exe
C:\WINDOWS\system32\w841Dj2.exe
 C:\WINDOWS\system32\Qqaphog.exe
C:\WINDOWS\system32\00K3val.exe


:Reg


:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Повторите логи АВЗ + HijackThis+ RSIT!Что с проблемами?

DarkingCat · Отправлено: **18:17, 02-07-2010** | #9

У меня антивирь при проверке нашел их всех. Так что нету уже ничегошеньки^^
Спасибо^^

help? · Отправлено: **19:04, 02-07-2010** | #10

Повторите логи АВЗ + HijackThis+ RSIT