services.exe-problem z wirusem

06.09.06, 20:10
Witam
Mam wirusa który, tworzy/zaraża pliki C:\WINDOWS\services.exe
,C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\fservice.exe

Próbowałem skanować system antywirusami- nie pomagały
hijackthis nie usuwa procesów związanych z wirusem
Próbowałem Killboxem usunąć te pliki - nie pomaga
Skanowałem też różnymi programami typu Ad-Aware,SpyBot,Reg Doctor - nie pomaga
Nie wiem już jak go usunąć :(
Jeszcze może podam loga z hijacka:

Logfile of HijackThis v1.99.1
Scan saved at 21:08:48, on 2006-09-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.exe
D:\WINDOWS\services.exe
D:\Program Files\Eset\nod32kui.exe
D:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\system32\fservice.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program
Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [nod32kui] D:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program
Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunServer] D:\Program Files\Sunbelt
Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\RunOnce: [eISS_cleanup]
"D:\DOCUME~1\Tomasz\USTAWI~1\Temp\cacu_001.exe" /cleanup
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download All by FlashGet - D:\Program
Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\Program
Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet -
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) -
arcaonline.arcabit.com/ArcaOnline.cab
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) -
mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class)
- acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CEA3052D-65B9-44E2-A501-5E14024BC66F} (TricksterActiveX Control) -
www.tricksteronline.com/control/tricksterActiveX.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) -
kr.pristontale.com/nprotect/nprotect/npx.cab
O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} (Logout Class) -
www.tricksteronline.com/control/KALogoutComponent.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) -
67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel
32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Program
Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) -
NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -
Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f
"%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. -
D:\WINDOWS\system32\ZoneLabs\vsmon.exe

    • Gość: Kolobos Re: services.exe-problem z wirusem IP: *.warszawa.sdi.tpnet.pl 06.09.06, 20:18
      Usun te pliki z dysku, w razie problemow uzyj killbox'a (zaznacz delete on reboot i dodaj oba pliki do usuwania bez resetu):
      C:\WINDOWS\services.exe
      C:\WINDOWS\system32\fservice.exe

      Przeskanuj system przy pomocy ewido.

      W menadzerze zadan zakoncz (tylko nie pomyl z plikiem systemowym, najlepiej uzyj Process Explorera):
      D:\WINDOWS\services.exe

      Usun w hjt:
      F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\system32\fservice.exe
      O4 - HKLM\..\RunOnce: [eISS_cleanup]
      "D:\DOCUME~1\Tomasz\USTAWI~1\Temp\cacu_001.exe" /cleanup <- usun wszystko z Temp.

      Usluge mozesz usunac:
      O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -
      Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f
      "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
      • tom3k2 Re: services.exe-problem z wirusem 06.09.06, 21:14
        Zrobiłem co powiedziałeś , ale nie pomogło :( Dalej te pliki siedza na dysku...
        • Gość: Kolobos Re: services.exe-problem z wirusem IP: *.warszawa.sdi.tpnet.pl 06.09.06, 21:17
          Wiec uzyj konsoli odzyskiwania z plyty instalacyjnej XP (opis uzywania znajdziesz na google po wpisaniu konsola odzyskiwania).
          Mozesz tez uzyc gmera, opis uzywania masz w przyklejonym poscie lub na google.
          • wiewia1 Re: services.exe-problem z wirusem 06.09.06, 23:04
            Sciągnij najlepiej program Gmer jak kolobos mówi opis w przyklejonym temacie i zrób tak

            Wejdz w zakładke cmd i wklej komendy:

            DEL D:\WINDOWS\services.exe
            DEL D:\WINDOWS\system32\fservice.exe

            Następnie do zakładki procesy wybierz opcje "ZABIJ WSZYSTKO" następnie powrót do zakładki cmd naciskasz uruchom i do zakładki procesy wybierasz restart.

            Po restarcie wejdz z powrotem do gmera i wybierz zakładke ROOTKIT-> szukaj i po skończeniu skanowania -> kopiuj i wklej na forum (ctrl+V)

            Przydał by sie też log z silent runners info masz również w przyklejonym temacie

            • tom3k2 Re: services.exe-problem z wirusem 07.09.06, 15:54
              Gmer, nie znajduje tych plików (nie są ukryte). Komenda "Zabij wszystko"
              powoduje restart komputera, a silent runner mi nie działa.
              • wiewia1 Re: services.exe-problem z wirusem 07.09.06, 16:38
                To zobacz czy dasz rade usunąć pliki ręcznie w Gmerze opis masz w przyklejonym temacie. Została ci jeszcze Konsola oczym mówił ci juz kolobos.
                Wklej log Gmera. Przyczyną restartów w gmerze mogą być zinstalowane dyski wirtualne opis również masz w przyklejonym temacie jak to obejść
Pełna wersja