Обнаружение интерактивных служб, вирусный запуск

[Sergey_5]

Обнаружение интерактивных служб, вирусный запуск

Программное?
Сбой?
Помогите пжл!
Такое впервые у меня!
Загрузил систему, всё ок, подключил интернет, зашёл в мою почту, Mail.ru,
Высочило вот такое сообщение НЕ в браузере, а в системе, на рабочем столе) ,как на картинке, в процессе тоже ОНО есть…..файл отчёта прогой Process Explorer
Выложил

UI0Detect.exe
В журнале событий
Установщик Windows изменил настройку продукта. Продукт: Google updаtе Helper. Версия: 1.3.21.149. Язык: 1033. Изготовитель: Google Inc.. Изменение настройки завершено с состоянием: 1638.
Процесс УБИВАТЬ?
При нажатие о Просмотре сообщения, ЭКРАН делается чёрным и рабочий стол убирается, оставляя одно сообщение, нажатием отмена, возвращаюсь на рабочий стол.

Помогите что за Х?!
Гугл обновление гадкое затесалось?)


НО я ЕЁ НЕ включал!
UI0Detect Обнаружение интерактивных служб UI0Detect.exe 6.1.7600.16385 Собственный процесс Выполняется LocalSystem



Помогите….
Знаю, что это процесс W и удалять файл НЕЛЬЗя…НО ЧЕМ вызвана служба? Вирус?


После перезагрузки системы…процесс убрался….

 

[safety]

http://www.tehnari.ru/f150/t81269/

 

[Sergey_5]

Ок
вот сделал всё

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE

addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 8 Trojan.Siggen3.39984 [DrWeb]
zoo %SystemDrive%\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE
;delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
delall %SystemDrive%\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE
hide %SystemDrive%\USERS\КИРИЛЛ\DOWNLOADS\ПРОГРАММЫ\RSIT.EXE
delall %SystemDrive%\USERS\C523~1\APPDATA\LOCAL\TEMP\1SKKKK~1.EXE
chklst
delvir

deltmp
delnfr
; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

 

[Sergey_5]

\VKSAVER\VKSAVER.EXE я не СОБИРАЮсь её удалять!


это прога для скачки музыки...мне не мешает)

delall %SystemDrive%\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE
насчёт этой не знаю)

hide %SystemDrive%\USERS\КИРИЛЛ\DOWNLOADS\ПРОГРАММЫ\RSIT.EXE
ЭТО Моя прога, для проверки компа,автозагрузки и всего-всего..оч полезная!

%SystemDrive%\USERS\C523~1\APPDATA\LOCAL\TEMP\1SKKKK~1.EXE
ЕГО я давно удалил):dog:

 

[safety]

1. закоментировал vksaver в скрипте

2.

Полное имя C:\PROGRAM FILES\JAVA\ADOBE ACROBAT UPDATE SERVICE.EXE
Имя файла ADOBE ACROBAT UPDATE SERVICE.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Статус ВИРУС
Сигнатура Trojan.Siggen3.39984 [DrWeb] [глубина совпадения 64(64), необх. минимум 8, максимум 64]

www.virustotal.com 2013-06-18 [2013-06-18 02:49:38 UTC ( 3 weeks, 3 days ago )]
DrWeb Trojan.Siggen3.39984

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
File_Id 4D8C95F610000
Linker 2.50
Размер 25088 байт
Создан 06.07.2013 в 16:24:49
Изменен 10.04.2013 в 11:05:41
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Файл ВОЗМОЖНО заражен вирусом из семейства Sality

Доп. информация на момент обновления списка
SHA1 C5DF2A6C04A9C7CE0419407BEF1B61E2CC3A3A17
MD5 E88D8933392E8BD7B650D316476E3D3C

3. rsit здесь не удаляется, а исключается из проверки.

4. остальное мусор в реестре, который нужно очистить.
------------
подправил скрипт для выполнения.

 

[Sergey_5]

Выполнил, как указано.
отправил почтой

 

[safety]

лог малваребайт нужен здесь

 

[Sergey_5]

Ок, вот лог.

 

[safety]

лог мбам чистый, сделайте еще проверку в АдвКлинере http://www.tehnari.ru/f150/t87975/

 

[Sergey_5]

Спасибо за ещё одну утилитку...для мониторинга системы...Оч буду рад...если ещё что посоветуете.
Не буду хвалиться, НО я сам удалял баннеры-вирусы,все 6 раз) своим методом). И инжектирующийся в процесс svchost ,вирус смог уничтожить).
Вроде всё ок и чисто.

tehno036

 

[Sergey_5]

O4 - HKCU\..\Run: [Google Update] "C:\Users\AppData\Local\Google\Update\GoogleUpdate.exe" /c
МОжно его удалить*?
Не нужно же это обновление?
Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Служба Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
и вот ещё два....

или нужны?

 

[safety]

удалите найденное в АдвКлинере по кнопке delete

автоперезагрузка,

далее,

выполните закрытие уязвимостей в АВЗ
http://www.tehnari.ru/f150/t83677/
------
да, AdwCleaner - хорошая утилитка для очистки всяких левых тулбаров, стартовых страниц, нежелательных дополнений к браузерам. / пока на форумах по лечению заражений хорошо себя зарекомендовала /

 

[Sergey_5]

Всё удалил….вот отчёт.

 

[safety]

далее, выполните закрытие уязвимостей в АВЗ Закрываем основные уязвимости системы и приложений с помощью скрипта в AVZ