16.08.2010, 00:20 | #19 (ссылка) |
Мастер
|
Aleale, пофиксите в HijackThis следующие строчки:
Код:
O4 - HKLM\..\Run: [658] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [9029646] C:\WINDOWS\system32\syscache.exe Код:
begin ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); ClearHostsFile; RebootWindows(false); end. |
16.08.2010, 00:42 | #20 (ссылка) |
Новичок
Регистрация: 15.08.2010
Сообщений: 7
Репутация: 0
|
Нууу, кажется все в порядке. Скачать hijackthis.log с WebFile.RU
Iljeben, дорогой! Вы энтузиаст? Вы недавидите вирусы? Спасибо! Да хранит вас Господь и иже с вами! |
17.08.2010, 01:22 | #22 (ссылка) |
Новичок
Регистрация: 17.08.2010
Сообщений: 1
Репутация: 0
|
Просьба помочь мне с заразой в компьютере. В архиве нужный файлы из hijack и AVZ http://exfile.ru/120206 Заранее спасибо!
|
17.08.2010, 01:59 | #23 (ссылка) |
Мастер
|
uolkov, пофиксите в HijackThis следующие строчки:
Код:
O4 - HKLM\..\Run: [6629] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\DOCUME~1\Kompis\LOCALS~1\Temp\72598.exe O4 - HKLM\..\Run: [6433633] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\cfdrive32.exe'); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); DeleteService('cpuz132'); DeleteFile('C:\WINDOWS\system32\syscache.exe'); DeleteFile('c:\windows\cfdrive32.exe'); DeleteFile('c:\windows\system32\msvmiode.exe'); DeleteFile('C:\DOCUME~1\Kompis\LOCALS~1\Temp\72598.exe'); DeleteFile('C:\DOCUME~1\Kompis\LOCALS~1\Temp\821.exe'); DeleteFile('c:\recycler\s-1-5-21-6990023659-7997848033-759845123-8341\syscr.exe'); DeleteFile('c:\documents and settings\kompis\application data\ltzqai.exe'); DeleteFile('C:\DOCUME~1\Kompis\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys'); DeleteFile('C:\WINDOWS\system32\36.exe'); DeleteFile('C:\WINDOWS\system32\16.exe'); DeleteFile('C:\WINDOWS\system32\27.exe'); DeleteFile('C:\WINDOWS\system32\32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6629'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6433633'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','3161'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','8793384'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','5722'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','228'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','64984'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','75805'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','0306'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','222775'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','2963845'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','MSODESNV7'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Advanced DHTML Enable'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; ClearHostsFile; RebootWindows(true); end. Последний раз редактировалось Iljeben; 17.08.2010 в 02:21. |
17.08.2010, 15:19 | #24 (ссылка) |
Новичок
Регистрация: 17.08.2010
Сообщений: 1
Репутация: 0
|
у меня такая же фигня при запуске виндовс в диспетчере задач появляются процесы 22.exe 5861.exe и другие
файл hosts постоянно модифицируется при каждом запуске винды пишет мне об етом dr.web 6.0 я удалял через антивирус ltzqai.exe но он востанавливается видимо заново скачивается потому что hosts модифицирован а и то и то одновременно обезвредить у меня не получается файл ltzqai.exe сидит у меня в C:\Documents and Settings\Admin\ Application Data его там не показывает но если сканируеш Application Data то показывает ltzqa.exe у меня windows sp2 я в етом деле чайник помогите плз а то на таких умных форумах уже через поисковик лазил но здесь вижу что вы деиствительно кому-то помогаете |
Ads | |
17.08.2010, 15:30 | #25 (ссылка) |
Мастер
|
Xipypr, выполняйте http://pchelpforum.ru/f26/t6442/.
|
18.08.2010, 02:54 | #26 (ссылка) | |
Новичок
Регистрация: 17.08.2010
Сообщений: 3
Репутация: 0
|
Вижу ltzqai.exe в реестре! При загрузке автоматом открывается папка "Мои Документы!
Помогите знатоки, второй день воюю!!! При загрузке автоматом открывается папка "Мои Документы" Пишу сюда потому что вижу ltzqai.exe в реестре!
Много чего пересмотрел! На вирусы полную проверку выполнил CUREIT и NOD32 с посл. обновлениями))) Вирусы удалил. Систему не трогал. Реестр ок, вроде...) __________________________________________________ ______________ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce Ничего подозрительного или похожего на Мои Документы или explorer.exe __________________________________________________ ______________ HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Winlogon\Userinit (прописано только Userinit.exe,) __________________________________________________ ______________ Галка "восстанавливать прежние окна папок при выходе в систему" не стоит) WTF??? Логи прилагаю: http://exfile.ru/120424 - virusinfo_syscure.zip http://exfile.ru/120425 - hijackthis.log ---------- Добавлено в 01:54 ---------- Предыдущее сообщение было написано в 01:26 ---------- Цитата:
1. Поставил программу Autoruns.zip - http://exfile.ru/120450 2. Запустил, нашел сомнительный процесс в реестре - ltzqai.exe, где в автозагрузке фигурировал explorer.exe (проводник, Мои документы обычно) 3. Выполнил скрипт в AVZ - http://exfile.ru/120451 begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe', ''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows NT\CurrentVersion\Winlogon','Taskman '); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221); BC_Activate; RebootWindows(true); end. |
|
18.08.2010, 09:56 | #27 (ссылка) |
Новичок
Регистрация: 18.08.2010
Сообщений: 4
Репутация: 0
|
помогите плиз, таже беда с трояном http://webfile.ru/4672708http://webfile.ru/4672710
|
18.08.2010, 12:15 | #28 (ссылка) |
Мастер
|
sipich, пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\cfdrive32.exe'); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); DeleteFile('c:\windows\cfdrive32.exe'); DeleteFile('c:\windows\system32\msvmiode.exe'); DeleteFile('c:\recycler\s-1-5-21-1201139558-4337777306-708059610-9595\syscr.exe'); DeleteFile('c:\documents and settings\agent16\application data\ltzqai.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; ClearHostsFile; RebootWindows(true); end. Вот это сами добавили в доверенную зону? Код:
*.isb.ru *.otpbank.ru *.pk8.otpbank.ru *.sprint8.otpbank.ru Код:
O15 - Trusted Zone: *.isb.ru O15 - Trusted Zone: *.otpbank.ru O15 - Trusted Zone: *.pk8.otpbank.ru O15 - Trusted Zone: *.sprint8.otpbank.ru Последний раз редактировалось Iljeben; 18.08.2010 в 12:37. |
18.08.2010, 12:26 | #29 (ссылка) |
Новичок
Регистрация: 18.08.2010
Сообщений: 20
Репутация: 0
|
http://exfile.ru/120503 это AVZ, а вот Hijackthis http://exfile.ru/120505
Последний раз редактировалось Herokiller; 18.08.2010 в 12:35. |
18.08.2010, 12:56 | #30 (ссылка) |
Мастер
|
Herokiller, пофиксите в HijackThis следующие строки:
Код:
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe O4 - HKLM\..\Run: [2375] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [895384] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\syscache.exe'); TerminateProcessByName('c:\windows\cfdrive32.exe'); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); TerminateProcessByName('c:\windows\system\csrss.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\player32.exe'); DeleteFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe'); DeleteFile('c:\windows\system32\syscache.exe'); DeleteFile('c:\windows\cfdrive32.exe'); DeleteFile('c:\windows\system32\msvmiode.exe'); DeleteFile('c:\windows\system32\idsasvstart.dll'); DeleteFile('C:\WINDOWS\System32\ldsasclib.dll'); DeleteFile('c:\recycler\s-1-5-21-5569691827-2031801031-969360442-0488\syscr.exe'); DeleteFile('c:\recycler\s-1-5-21-9019795012-0811151469-532908343-0654\syscr.exe'); DeleteFile('c:\documents and settings\администратор.vista.000\application data\ltzqai.exe'); DeleteFile('c:\windows\system\csrss.exe'); DeleteFile('C:\WINDOWS\Temp\1043485.exe'); DeleteFile('C:\WINDOWS\Temp\560743.exe'); DeleteFile('C:\WINDOWS\Temp\5965924.exe'); DeleteFile('C:\WINDOWS\Temp\7820.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2375'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','895384'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX3C644141'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; ClearHostsFile; RebootWindows(true); end. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Возможно вирусы, трояны | Valera2 | Безопасность | 8 | 23.11.2010 19:35 |
Трояны на компе | DarkKiber | Безопасность | 9 | 17.11.2010 20:12 |
Помогите удалить трояны syscr.exe. Лог AVZ имеется. | Аlexandr | Безопасность | 4 | 29.08.2010 16:17 |
Трояны не дают запустить браузер | router | Безопасность | 28 | 31.05.2010 13:14 |
помогите пожалуйста вылечить компьютер. трояны одолели | akb607 | Безопасность | 12 | 18.04.2010 20:38 |
Трояны в system32 | Max_NV | Windows XP | 23 | 05.03.2010 00:12 |
Трояны и спамы | Даниэль | Безопасность | 3 | 27.02.2010 01:26 |
Трояны задолбали!!! | Эзен | Безопасность | 2 | 30.04.2008 18:06 |