Подозрение на вирусы

[Flank]

Здравствуйте, пару дней назад компьютер начал очень сильно тормозить и довольно часто зависать. Сегодян мой антивирус нашел какой-то Backdoor.W32.Delf.SCV (Backdoor) но удалить процесс не смог ( хз почему до этого не находил и после находки так же больше не обнаруживал). Так же постоянно вылазит непонятный процесс servises.exe (он у меян заблокирован анивирусом но видно как он просит доступ постоянно). В диспетчере задач в процессах целых 4 servises.exe ( только 1 работает от имени SYSTEM - остальные от имени пользователя). В папке system32 от куда родом servises.exe почему-то 2 таких фаила. Вообщем посмотрите, пожалуйста, логи а то задолбало перезагружаться каждые полчаса.

И еще при попытке завершить процессы servises.exe (которые о тимени пользователя) - комп перезагружается. А когда servises.exe начинается долбиться об защиту в реальном времени на антивире - сильно нагружается процессор.

[Flank]

И еще заметил что 1 фаил называется services.exe а второй serviSes.exe - с ошибкой в названии.

[Alex56]

1. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить"

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\windows\system32\servises.exe');QuarantineFile('c:\windows\system32\servises.exe','');QuarantineFile('C:\WINDOWS\system32\eykfcqc.dll','');DeleteFile('c:\windows\system32\servises.exe');DeleteFile('C:\WINDOWS\system32\eykfcqc.dll');RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportALL;ExecuteSysClean;ExecuteRepair(6);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Выполните еще этот скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip отправьте на orsk_alex@mail.ru

2. Пофиксить в HijackThis следующие строчки

O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exeO4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe

3. Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:FilesD:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunyu.exeD:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exeC:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e35b5c0-0b24-11de-812f-0018f375cf38}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c76a06e8-0b12-11de-812e-0018f375cf38}][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]"servises"=-:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Повторите логи

[Alex56]

Не забудьте обновить базы AVZ (Файл-Обновление баз-ПУСК) и выложить новые логи после всех рекомендаций

[Flank]

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

File/Folder D:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunyu.exe not found.

File/Folder D:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe not found.

File/Folder C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe not found.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e35b5c0-0b24-11de-812f-0018f375cf38}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c76a06e8-0b12-11de-812e-0018f375cf38}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run not found.

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_H7QRlQvcbl6GHvgKzHSr scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_H7QRlQvcbl6GHvgKzHSr-journal scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 05092009_144821

Files moved on Reboot...

File C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_H7QRlQvcbl6GHvgKzHSr not found!

File C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_H7QRlQvcbl6GHvgKzHSr-journal not found!

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

Поповоду servises.exe то я не удержался - переименовал и удалил еще до рекомендаций и реестр от него очистил...

Вот еще 1 фаил не влез почему-то в этот раз

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

File/Folder D:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunyu.exe not found.

File/Folder D:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe not found.

File/Folder C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe not found.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e35b5c0-0b24-11de-812f-0018f375cf38}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c76a06e8-0b12-11de-812e-0018f375cf38}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run not found.

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_H7QRlQvcbl6GHvgKzHSr scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_H7QRlQvcbl6GHvgKzHSr-journal scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 05092009_144821

Files moved on Reboot...

File C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_H7QRlQvcbl6GHvgKzHSr not found!

File C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_H7QRlQvcbl6GHvgKzHSr-journal not found!

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

Поповоду servises.exe то я не удержался - переименовал и удалил еще до рекомендаций и реестр от него очистил...

А как у вас сообщения редактировать?

вот еще 1 невлезший фаил

епрст так фаил и не прикрепляется...

[thyrex]

Возможность редактирования появится после достижения рубежа в 100 сообщений

Не нужно было выкладывать htm- и xml-файлы :no:

[Alex56]

1. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить"

beginRegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);end.

2. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:FilesC:\WINDOWS\system32\01.tmp:Reg:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Что с проблемами?

[Flank]

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

C:\WINDOWS\system32\01.tmp moved successfully.

========== REGISTRY ==========

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_MOYeA6BrfvJP3azqa9iX scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_MOYeA6BrfvJP3azqa9iX-journal scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 05102009_195632

Files moved on Reboot...

File C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_MOYeA6BrfvJP3azqa9iX not found!

File C:\DOCUME~1\1\LOCALS~1\Temp\etilqs_MOYeA6BrfvJP3azqa9iX-journal not found!

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

Что касается проблем то servises.exe больше не беспокоит, но компьютер все равно подтормаживает...

[Alex56]

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe.

[Flank]

Вот лог гмера

Хм я почему-то не могу добавить фаил

[long.]

Хм я почему-то не могу добавить фаил

Посмотрите в своих личных данных – Настройки – Прикрепленные файлы. Там показано сколько «Вами использовано... из допустимых...» или «Вами загружено... файлов (...% использовано)».

Может нужно очистить.

[thyrex]

Или неподходящее расширение у файла с логом

[Flank]

Все разобрался

А еще вопрос - надо ли было отключать антивирь обновление сисиемы и т д перед сканированием GMERом?

восстановление системы*

_____.log

_____.log

[Alex56]

Антивирус отключить, восстановление системы отключить.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del file "C:\WINDOWS\system32\eykfcqc.dll"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\avymoatic\Parameters@ServiceDll"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\avymoatic\Parameters@ServiceDll"gmer -reboot

И запустите cleanup.bat

Сделайте новый лог Gmer

[Flank]

При выполнении выскакивают вот такие ошибки,

+ повторный лог

______.zip

___2.log

______.zip

___2.log

[Alex56]

1. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить"

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\eykfcqc.dll',' ');DeleteFile('C:\WINDOWS\system32\eykfcqc.dll');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Выполните еще этот скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip отправьте на newvirus@kaspersky.com

Повторите лог Gmer

[Flank]

Вот

______3.log

______3.log

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service avymoaticgmer.exe -del file "C:\WINDOWS\system32\eykfcqc.dll"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\avymoatic"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\avymoatic"gmer -reboot

И запустите cleanup.bat

Повторите лог gmer

[Flank]

Че-то при выполнении cleanup.bat опять ругался

___4.log

___4.log

[ТроПа]

Ещё какие-то проблемы наблюдаются?

[Flank]

На данный момент вроде нет, спасибо за помощь! :)

Кстати а че это все-таки было ( я про вторую проблему найденную в GMER-е)