Трояны. - Страница 2

Aleale · 15.08.2010, 23:17

Смотрю в темп. и-нет файлах фигни нет, но ltzqai.exe, syscache.exe, всякие типа 40.exe фигурируют. Чего делать? Опять скрипт 2 и virusinfo_syscheck.zip ?

Iljeben · 15.08.2010, 23:46

Повторите. Плюс еще лог hijackthis приложите.

Aleale · 16.08.2010, 00:07

Вот:

Скачать virusinfo_syscheck.zip с WebFile.RU

Скачать hijackthis.log с WebFile.RU

Iljeben · 16.08.2010, 00:20

Aleale, пофиксите в HijackThis следующие строчки:

Код:

O4 - HKLM\..\Run: [658] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [9029646] C:\WINDOWS\system32\syscache.exe

Выполните в AVZ:

Код:

begin
 ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ClearHostsFile;
RebootWindows(false);
end.

Повторите лог HijackThis.

Aleale · 16.08.2010, 00:42

Нууу, кажется все в порядке. Скачать hijackthis.log с WebFile.RU

Iljeben, дорогой! Вы энтузиаст? Вы недавидите вирусы? Спасибо! Да хранит вас Господь и иже с вами!

Iljeben · 16.08.2010, 00:48

Цитата:

Сообщение от Aleale

Вы энтузиаст? Вы недавидите вирусы?

Скорее второе.

А по теме, в логе чисто.

uolkov · 17.08.2010, 01:22

Просьба помочь мне с заразой в компьютере. В архиве нужный файлы из hijack и AVZ http://exfile.ru/120206 Заранее спасибо!

Iljeben · 17.08.2010, 01:59

uolkov, пофиксите в HijackThis следующие строчки:

Код:

O4 - HKLM\..\Run: [6629] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\DOCUME~1\Kompis\LOCALS~1\Temp\72598.exe
O4 - HKLM\..\Run: [6433633] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe

выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\cfdrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 DeleteService('cpuz132');
 DeleteFile('C:\WINDOWS\system32\syscache.exe');
 DeleteFile('c:\windows\cfdrive32.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('C:\DOCUME~1\Kompis\LOCALS~1\Temp\72598.exe');
 DeleteFile('C:\DOCUME~1\Kompis\LOCALS~1\Temp\821.exe');
 DeleteFile('c:\recycler\s-1-5-21-6990023659-7997848033-759845123-8341\syscr.exe');
 DeleteFile('c:\documents and settings\kompis\application data\ltzqai.exe');
 DeleteFile('C:\DOCUME~1\Kompis\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys');
 DeleteFile('C:\WINDOWS\system32\36.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 DeleteFile('C:\WINDOWS\system32\27.exe');
 DeleteFile('C:\WINDOWS\system32\32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6629');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6433633');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','3161');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','8793384');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','5722');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','228');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','64984');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','75805');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','0306');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','222775');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','2963845');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Advanced DHTML Enable');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Плюс новый лог HijackThis.

Xipypr · 17.08.2010, 15:19

у меня такая же фигня при запуске виндовс в диспетчере задач появляются процесы 22.exe 5861.exe и другие
файл hosts постоянно модифицируется при каждом запуске винды пишет мне об етом dr.web 6.0 я удалял через антивирус ltzqai.exe но он востанавливается видимо заново скачивается потому что hosts модифицирован а и то и то одновременно обезвредить у меня не получается файл ltzqai.exe сидит у меня в C:\Documents and Settings\Admin\ Application Data его там не показывает но если сканируеш Application Data то показывает ltzqa.exe у меня windows sp2
я в етом деле чайник помогите плз а то на таких умных форумах уже через поисковик лазил но здесь вижу что вы деиствительно кому-то помогаете

Iljeben · 17.08.2010, 15:30

Xipypr, выполняйте http://pchelpforum.ru/f26/t6442/.

LivFriendly · 18.08.2010, 02:54

Помогите знатоки, второй день воюю!!! При загрузке автоматом открывается папка "Мои Документы" Пишу сюда потому что вижу ltzqai.exe в реестре!

Много чего пересмотрел!

На вирусы полную проверку выполнил CUREIT и NOD32 с посл. обновлениями))) Вирусы удалил. Систему не трогал.

Реестр ок, вроде...)
__________________________________________________ ______________
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce

Ничего подозрительного или похожего на Мои Документы или explorer.exe
__________________________________________________ ______________

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Winlogon\Userinit (прописано только Userinit.exe,)
__________________________________________________ ______________

Галка "восстанавливать прежние окна папок при выходе в систему" не стоит)

WTF???

Логи прилагаю:

http://exfile.ru/120424 - virusinfo_syscure.zip

http://exfile.ru/120425 - hijackthis.log

---------- Добавлено в 01:54 ---------- Предыдущее сообщение было написано в 01:26 ----------

Цитата:

Сообщение от LivFriendly

Помогите знатоки, второй день воюю!!! При загрузке автоматом открывается папка "Мои Документы" Пишу сюда потому что вижу ltzqai.exe в реестре!

Решено:

1. Поставил программу Autoruns.zip - http://exfile.ru/120450

2. Запустил, нашел сомнительный процесс в реестре - ltzqai.exe, где в автозагрузке фигурировал explorer.exe (проводник, Мои документы обычно)

3. Выполнил скрипт в AVZ - http://exfile.ru/120451

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe', '');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.

sipich · 18.08.2010, 09:56

помогите плиз, таже беда с трояном http://webfile.ru/4672708 http://webfile.ru/4672710

Iljeben · 18.08.2010, 12:15

sipich, пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\cfdrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\recycler\s-1-5-21-1201139558-4337777306-708059610-9595\syscr.exe');
DeleteFile('c:\documents and settings\agent16\application data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Вот это сами добавили в доверенную зону?

Код:

*.isb.ru
*.otpbank.ru
*.pk8.otpbank.ru
 *.sprint8.otpbank.ru

Если нет пофиксите в HijackThis:

Код:

O15 - Trusted Zone: *.isb.ru
O15 - Trusted Zone: *.otpbank.ru
O15 - Trusted Zone: *.pk8.otpbank.ru
O15 - Trusted Zone: *.sprint8.otpbank.ru

Herokiller · 18.08.2010, 12:26

http://exfile.ru/120503 это AVZ, а вот Hijackthis http://exfile.ru/120505

Iljeben · 18.08.2010, 12:56

Herokiller, пофиксите в HijackThis следующие строки:

Код:

O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
O4 - HKLM\..\Run: [2375] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [895384] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\syscache.exe');
TerminateProcessByName('c:\windows\cfdrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\system\csrss.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\player32.exe');
 DeleteFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe');
 DeleteFile('c:\windows\system32\syscache.exe');
 DeleteFile('c:\windows\cfdrive32.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('c:\windows\system32\idsasvstart.dll');
 DeleteFile('C:\WINDOWS\System32\ldsasclib.dll');
 DeleteFile('c:\recycler\s-1-5-21-5569691827-2031801031-969360442-0488\syscr.exe');
 DeleteFile('c:\recycler\s-1-5-21-9019795012-0811151469-532908343-0654\syscr.exe');
 DeleteFile('c:\documents and settings\администратор.vista.000\application data\ltzqai.exe');
 DeleteFile('c:\windows\system\csrss.exe');
 DeleteFile('C:\WINDOWS\Temp\1043485.exe');
 DeleteFile('C:\WINDOWS\Temp\560743.exe');
 DeleteFile('C:\WINDOWS\Temp\5965924.exe');
 DeleteFile('C:\WINDOWS\Temp\7820.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2375');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','895384');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX3C644141');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

16.08.2010, 00:20	#19 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Aleale, пофиксите в HijackThis следующие строчки: Код: O4 - HKLM\..\Run: [658] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [9029646] C:\WINDOWS\system32\syscache.exe Выполните в AVZ: Код: begin ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); ClearHostsFile; RebootWindows(false); end. Повторите лог HijackThis.

18.08.2010, 12:26	#29 (ссылка)
Herokiller Новичок Регистрация: 18.08.2010 Сообщений: 20 Репутация: 0	http://exfile.ru/120503 это AVZ, а вот Hijackthis http://exfile.ru/120505 Последний раз редактировалось Herokiller; 18.08.2010 в 12:35.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Возможно вирусы, трояны	Valera2	Безопасность	8	23.11.2010 19:35
Трояны на компе	DarkKiber	Безопасность	9	17.11.2010 20:12
Помогите удалить трояны syscr.exe. Лог AVZ имеется.	Аlexandr	Безопасность	4	29.08.2010 16:17
Трояны не дают запустить браузер	router	Безопасность	28	31.05.2010 13:14
помогите пожалуйста вылечить компьютер. трояны одолели	akb607	Безопасность	12	18.04.2010 20:38
Трояны в system32	Max_NV	Windows XP	23	05.03.2010 00:12
Трояны и спамы	Даниэль	Безопасность	3	27.02.2010 01:26
Трояны задолбали!!!	Эзен	Безопасность	2	30.04.2008 18:06

15.08.2010, 23:17	#16 (ссылка)
Aleale Новичок Регистрация: 15.08.2010 Сообщений: 7 Репутация: 0	Смотрю в темп. и-нет файлах фигни нет, но ltzqai.exe, syscache.exe, всякие типа 40.exe фигурируют. Чего делать? Опять скрипт 2 и virusinfo_syscheck.zip ?

15.08.2010, 23:46	#17 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Повторите. Плюс еще лог hijackthis приложите.

16.08.2010, 00:07	#18 (ссылка)
Aleale Новичок Регистрация: 15.08.2010 Сообщений: 7 Репутация: 0	Вот: Скачать virusinfo_syscheck.zip с WebFile.RU Скачать hijackthis.log с WebFile.RU

16.08.2010, 00:42	#20 (ссылка)
Aleale Новичок Регистрация: 15.08.2010 Сообщений: 7 Репутация: 0	Нууу, кажется все в порядке. Скачать hijackthis.log с WebFile.RU Iljeben, дорогой! Вы энтузиаст? Вы недавидите вирусы? Спасибо! Да хранит вас Господь и иже с вами!

17.08.2010, 01:22	#22 (ссылка)
uolkov Новичок Регистрация: 17.08.2010 Сообщений: 1 Репутация: 0	Просьба помочь мне с заразой в компьютере. В архиве нужный файлы из hijack и AVZ http://exfile.ru/120206 Заранее спасибо!

17.08.2010, 15:19	#24 (ссылка)
Xipypr Новичок Регистрация: 17.08.2010 Сообщений: 1 Репутация: 0	у меня такая же фигня при запуске виндовс в диспетчере задач появляются процесы 22.exe 5861.exe и другие файл hosts постоянно модифицируется при каждом запуске винды пишет мне об етом dr.web 6.0 я удалял через антивирус ltzqai.exe но он востанавливается видимо заново скачивается потому что hosts модифицирован а и то и то одновременно обезвредить у меня не получается файл ltzqai.exe сидит у меня в C:\Documents and Settings\Admin\ Application Data его там не показывает но если сканируеш Application Data то показывает ltzqa.exe у меня windows sp2 я в етом деле чайник помогите плз а то на таких умных форумах уже через поисковик лазил но здесь вижу что вы деиствительно кому-то помогаете

17.08.2010, 15:30	#25 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Xipypr, выполняйте http://pchelpforum.ru/f26/t6442/.

18.08.2010, 09:56	#27 (ссылка)
sipich Новичок Регистрация: 18.08.2010 Сообщений: 4 Репутация: 0	помогите плиз, таже беда с трояном http://webfile.ru/4672708 http://webfile.ru/4672710

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads