zyablik 12 Опубликовано 22 января, 2014 Share Опубликовано 22 января, 2014 (изменено) Компу лет 7, видимо. На производстве пашет, повидал много, навешано тоже много, включая бухгалтерские и отчетные государственные с криптозащитами и прочей хренотой. Ключ у Касперского истек (не знаю, вряд ли когда-либо проверяли на вирус — но базы обновлялись). Ну и поскольку с 2014 году в госучреждениях и мышку не купишь без нервотрепки (наслышаны, наверно) — соответственно, пришла мысль установить какой-либо бесплатный антивирус. Был avast!Free 9 — жахнул. Но не тут-то было. Launcher чего-то там глюканул в конце установки — возможно, схлестнулся с какой-то программой, коих тут мудреных с претензиями и подозрениями — дофига. Аваст жалуется, что защита не включена. Но и включить эту самую защиту так же не удается. Что ж, удалим, подумалось. На нет и суда нет. Но! В конце удаления (при ликвидации, судя по висящему сообщению: avast! Firewall'а) окно висело один раз 30 минут, нажал на перезагрузку. Перезагрузил, аваст вновь появляется, типа грузится (точнее, якобы ему надо завершить установку или что-то подобное), повторяет свои жалобы. Повторил удаление еще раз — набрался терпения: висел 2 часа; тут я сломался — выключил. Даже через безопасный режим (логи сейчас делал именно в этом режиме) — та же фигня. Короче, потратил 5 часов. Но в безопасном режиме хоть как-то можно работать. А в обычном — полный атас. При удалении в памяти постоянно сидит некий процесс, который неуклонно жрет 80-92 % памяти, при этом процессор ничем не занят. Процесс скромно себя называет services.exe или service.exe, не помню. Понятное дело: вырвать из памяти он себя не дает. Ситуация патовая — и удалить надо, а не могу удалить, и работать тоже фактически невозможно. В последний раз я такое состояние видел лет 7 назад, когда на одном ноуте схлестнулись Norton и Kasper. Война была насмерть. Но тогда хоть Nоrtоn удалось убрать.virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txtНе хочется переустанавливать ОС, слишком много людей ходят на этот комп. Переустанавливать эти сертификаты, каналы и защиты — позеленеешь. Компьютер, правда, стоит на очереди на замену. Но когда это случится? Изменено 22 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 22 января, 2014 Share Опубликовано 22 января, 2014 (изменено) @zyablik, Скачать: http://files.avast.com/iavs9x/avastclear.exeЗагрузится в безопасном режиме.Запустить.Следовать подсказкам.После этого сделать отчет GSI ссылку на автоанализ давайте сюда. А уж после всего этого - новые логи в обычном режиме. Изменено 22 января, 2014 пользователем SLASH_id 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 22 января, 2014 Автор Share Опубликовано 22 января, 2014 Спасибо. Завтра утром сообщу! Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 января, 2014 Share Опубликовано 22 января, 2014 (изменено) Здравствуйте! Закройте все программы Отключите - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828) Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url','Trojan.WinLNK.StartPage.a'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Xpom\Application\run_chrome.url','Trojan.WinLNK.StartPage.a'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Xpom\Application\chrome.url','Trojan.WinLNK.StartPage.a'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Xpom\Application\chrome.url','32'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Xpom\Application\run_chrome.url','32'); DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32'); RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^Zaxar Games Browser.lnk'); DeleteFileMask('C:\Program Files\smwdgt', '*', true, ' '); DeleteDirectory('C:\Program Files\smwdgt'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пересоздайте ярлыки для браузеров. Удалите вредоносное расширение в браузере. SmilesExtensions version 2.1 Сделайте новые логи. Изменено 22 января, 2014 пользователем mike 1 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 23 января, 2014 Автор Share Опубликовано 23 января, 2014 (изменено) @zyablik, Скачать: http://files.avast.com/iavs9x/avastclear.exe Загрузится в безопасном режиме. Запустить. Следовать подсказкам. После этого сделать отчет GSI ссылку на автоанализ давайте сюда. А уж после всего этого - новые логи в обычном режиме. avast удалился (хотя я и не успел сообразить, что там еще из списка авастов надо было выбирать что-то) — и слава Богу. Отчет GSI делал дважды (до и после выполнения рекомендаций поста #4 от mike 1) — здесь тот, который после. Хотя ход выполнения GSI был аналогичный. На половине прогресс-бара GSI может висеть 1,5 час и больше. Каждый раз из памяти поочередно выдергивал, что вообще выдергивается: FlashGuard.exe — <<<..GSI, как стоял на половине выполнения (типа Network с чем-то там), так и стоял (но не висел)...>>> — назову это "п.А". WrtMon.exe — <<<п.А>>> vpnui.exe — <<<п.А>>> (позже я понял, что это относится к законно тут сидящему Cisco AnyConnect Secure Mobile Client'у) WrtProc.exe — <<<п.А>>> rundll32.exe — <<<п.А>>> vpnagent.exe — <<<п.А>>> (... это тоже относится к Cisco AnyConnect Secure Mobile Client'у) wmiprvse.exe — а вот тут уже не так: оно вытаскивается, хотя потом само и возникает вновь. Но с 2-3-го раза этого вытаскивания wmiprvse вдруг оживает GSI ! и довольно быстро заканчивает отчет. Интернет я не смог пока наладить. Так что отчет оффлайновый только. Почему не смог? Во-первых папка "Мой компьютер" фактически не работает (может час заниматься поиском элементов — дольше не пробовал), ибо приходится в Блокноте набирать путь типа D:\Service и вставлять его в адресную строку. Тогда кое-как можно по папкам ходить (включая запуск AVZ, GSI и т.д.). Папка "Мои документы" открывается, а Панель управления — висит как "Мой компьютер", вернее, не висит, а застревает на поиске. Соответственно, я не вижу значка "Сетевые подключения" в трэй-панели, и Панели управления пока тоже нет, — сижу там без Интернета. Всё время процесс services.exe так же грузит процессор, как и прежде (80-95 %) — раньше мои слова о том, что память забита — были сущей ерундой, мои извинения. Память он занимает немного, меняясь в диапазоне 3,3-5,9 Мб. Вот сейчас делаю логи. Долго, как и в прошлый раз, ибо AVZ грузит процессор не более чем на 13% — т.е., как я понимаю, на столько, сколько остается от пиршества services.exe. Кстати, скрипты от mike 1 выполнил. Долго ковырялся весь в красных тонах — но самостоятельно ушел на перезагруз. Карантин создал. Отошлю. GetSystemInfo_SECR_Admin_2014_01_23_08_59_32.zip ------------------------------- А вот и ответ из Лаборатории пришел: Hello,This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. chrome.url, iexplore.url, run_chrome.url - Trojan.WinLNK.StartPage.a New malicious software was found in these files. Detection will be included in the next update. Thank you for your help. Best Regards, Kaspersky Lab "39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Меж тем бедный AVZ на 3-м стандартном скрипте корпеет уже часа полтора. Пишет, что осталось 5 минут — в переводе на скорость этой машины: скорее полчаса. Подождем, как в песне Игорька "Моя мама варит кофе..." 2001-й год, хех... Изменено 23 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 января, 2014 Share Опубликовано 23 января, 2014 Ждем новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 23 января, 2014 Автор Share Опубликовано 23 января, 2014 (изменено) virusinfo_syscheck.zip virusinfo_syscure.zip mike 1 ::::::::::: >>> Удалите вредоносное расширение в браузере. SmilesExtensions version 2.1 В Хроме что-то я его не нашел. Был какой-то "Документы Google" — это не он?А IE вообще не желает запускаться. Изменено 23 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 января, 2014 Share Опубликовано 23 января, 2014 Значит его нет уже в браузере. Еще новые логи RSIT сделайте. Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 24 января, 2014 Автор Share Опубликовано 24 января, 2014 (изменено) Вчера проделал жуткий эксперимент (пользуясь Process Killer'ом — всё равно дело идёт к тому, что систему сносить придётся): самовольно переименовал C:\Windows\system32\services.exe на services0.exe. Система перестала грузиться в любом режиме. Пришлось вернуть ему имя обратно. А так services.exe (как я выяснил — важнейший системный файл, если по определению) по-прежнему жрет ресурсы: работы нет. "Мой компьютер" открыл содержимое ровно через 5 минут, и то не надолго.RSIT запустил (предварительно удалив папку С:\rsit) — но он тоже сидит без движения на запуске HiJackThis. Вот жду.--------Ёкрны бабай &$#$@#&:::::::: забыл, что RSIT надо делать в безопасном режиме. info.txt log.txt А так: в безопасном режиме летает как самолёт по сравнению с тем, что есть в нормальном. Давно забытые осщусщения и сразу видно, что нет убийственного процесса services.exe . Изменено 24 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 января, 2014 Share Опубликовано 24 января, 2014 Тогда сделайте сначала лог HiJackThis http://safezone.cc/threads/kak-podgotovit-log-hijackthis.2304/, а потом попробуйте сделать логи RSIT в обычном режиме. Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 28 января, 2014 Автор Share Опубликовано 28 января, 2014 (изменено) Взял пока другой жесткий диск на 80 Гб. Вернул ОС c родного заводского диска DEPO — Windows Vista HP (6,5 года от роду, правда). <<Гады, правда, порвали наклейку. Но на 30 дней пусть пока (Но обновлений до [removed with support] тучи). Что успокоило: руководство, похоже, вняло плачам — и ищет средства на новый комп. >> И всё-таки загадка осталась: отчего взбеленился services.exe? Изменено 28 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.