 |
|
|
23.08.2010, 23:38
|
#91 (ссылка) |
|
Новичок
Регистрация: 21.08.2010
Сообщений: 8
Репутация: 0
|
только казалось избавился от syscashe.exe, как он снова появился + ntvdm.exe и трояны антивирусник ловит в большом количестве при выходе в Интернет + при загрузке компьютера автоматически стала открываться папка Мои Документы... и еще ошибка вылазит периодически: Generic Host Process for Win32 Services - блокирует Интернет и звук в компьютере... какая-то зараза в компе сидит
avz: http://exfile.ru/121442 hijackthis: http://exfile.ru/121443 ---------- Добавлено в 22:38 ---------- Предыдущее сообщение было написано в 18:55 ---------- исправляю первую ссылку. avz: http://exfile.ru/121467 |
|
|
24.08.2010, 02:56
|
#92 (ссылка) |
|
Мастер
|
perezsanchez, пофиксите в hijackthis::
Код:
R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [859] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe O4 - HKLM\..\Run: [958076] C:\WINDOWS\system32\syscache.exe Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\syscache.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\syscache.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\recycler\s-1-5-21-8957287621-6243171354-112849902-8104\syscr.exe');
DeleteFile('c:\documents and settings\катерина\application data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','859');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','958076');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.
Последний раз редактировалось Iljeben; 24.08.2010 в 19:12. |
|
|
|
24.08.2010, 18:10
|
#93 (ссылка) |
|
Новичок
Регистрация: 21.08.2010
Сообщений: 8
Репутация: 0
|
профиксил hijackthis
пробовал выполнить указанный скрипт в avz, появилась Ошибка: ')' expected в позиции 13:134 avz: http://exfile.ru/121596 hijackthis: http://exfile.ru/121597 |
|
|
|
24.08.2010, 20:48
|
#96 (ссылка) |
|
Мастер
|
perezsanchez, выполните в AVZ такой скрипт:
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
|
|
|
| Ads | |
|
25.08.2010, 13:18
|
#97 (ссылка) |
|
Новичок
Регистрация: 21.08.2010
Сообщений: 8
Репутация: 0
|
Iljeben, спасибо, вроде бы пока все нормально.
но вот ошибка: Generic Host Process for Win32 Services периодически вылазит, приходится перезагружать компьютер, чтобы Интернет снова заработал. чем вызвано появление этой ошибки не знаю, в сети про нее разное пишут. |
|
|
|
29.08.2010, 21:45
|
#100 (ссылка) |
|
Новичок
Регистрация: 29.08.2010
Сообщений: 4
Репутация: 0
|
syscache
Iljeben, прошу помощи.
Система была блокирована банер-вирусом. После устранения указанной проблемы видимо остались "следы". Процессор не может успокоиться, связь с Интернет пропадает почти сразу. Выполнил стандартный скрипт №3 в avz - http://exfile.ru/122573 hijackthis - http://exfile.ru/122575. С уважением. |
|
|
|
29.08.2010, 22:49
|
#101 (ссылка) |
|
Мастер
|
pmaster, пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe O4 - HKLM\..\Run: [650] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe O4 - HKLM\..\Run: [3823068] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [7977606] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [5893] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [685152] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [060490] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [281973] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [7657] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [5987] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [162] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [411937] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [87589] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [998530] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [894] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [175] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [7630] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [18647] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [2301] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [55485] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [5013] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [490635] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [6247] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe |
|
|
|
29.08.2010, 22:49
|
#102 (ссылка) |
|
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\syscache.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\syscache.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7641300175-5349578031-981013079-2003\syscr.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','650');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3823068');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7977606');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5893');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','685152');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','060490');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','281973');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7657');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5987');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','162');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','411937');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','87589');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','998530');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','894');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','175');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7630');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','18647');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2301');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','55485');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5013');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','490635');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6247');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.
|
|
|
|
29.08.2010, 23:28
|
#103 (ссылка) |
|
Новичок
Регистрация: 29.08.2010
Сообщений: 4
Репутация: 0
|
Большое спасибо!
Процессов syscache нет, Интернет пока не пробовал (пишу с другой машины). Вот ссылки: avz - http://exfile.ru/122614 HijackThis - http://exfile.ru/122615 При выполнении скрипта №2 стояла флешка, и судя по отчёту, на неё есть подозрение. Что бы Вы посоветовали изменить в настройках ОС (отключить некоторые службы и т.п)? С уважением. |
|
|
|
29.08.2010, 23:48
|
#104 (ссылка) |
|
Мастер
|
pmaster, со вставленной флешкой.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
| Ads | |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Возможно вирусы, трояны | Valera2 | Безопасность | 8 | 23.11.2010 19:35 |
| Трояны на компе | DarkKiber | Безопасность | 9 | 17.11.2010 20:12 |
| Помогите удалить трояны syscr.exe. Лог AVZ имеется. | Аlexandr | Безопасность | 4 | 29.08.2010 16:17 |
| Трояны не дают запустить браузер | router | Безопасность | 28 | 31.05.2010 13:14 |
| помогите пожалуйста вылечить компьютер. трояны одолели | akb607 | Безопасность | 12 | 18.04.2010 20:38 |
| Трояны в system32 | Max_NV | Windows XP | 23 | 05.03.2010 00:12 |
| Трояны и спамы | Даниэль | Безопасность | 3 | 27.02.2010 01:26 |
| Трояны задолбали!!! | Эзен | Безопасность | 2 | 30.04.2008 18:06 |
