23.08.2010, 23:38 | #91 (ссылка) |
Новичок
Регистрация: 21.08.2010
Сообщений: 8
Репутация: 0
|
только казалось избавился от syscashe.exe, как он снова появился + ntvdm.exe и трояны антивирусник ловит в большом количестве при выходе в Интернет + при загрузке компьютера автоматически стала открываться папка Мои Документы... и еще ошибка вылазит периодически: Generic Host Process for Win32 Services - блокирует Интернет и звук в компьютере... какая-то зараза в компе сидит
avz: http://exfile.ru/121442 hijackthis: http://exfile.ru/121443 ---------- Добавлено в 22:38 ---------- Предыдущее сообщение было написано в 18:55 ---------- исправляю первую ссылку. avz: http://exfile.ru/121467 |
24.08.2010, 02:56 | #92 (ссылка) |
Мастер
|
perezsanchez, пофиксите в hijackthis::
Код:
R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [859] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe O4 - HKLM\..\Run: [958076] C:\WINDOWS\system32\syscache.exe Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\syscache.exe'); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); DeleteFile('c:\windows\system32\syscache.exe'); DeleteFile('c:\windows\system32\msvmiode.exe'); DeleteFile('c:\recycler\s-1-5-21-8957287621-6243171354-112849902-8104\syscr.exe'); DeleteFile('c:\documents and settings\катерина\application data\ltzqai.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','859'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','958076'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; ClearHostsFile; RebootWindows(true); end. Последний раз редактировалось Iljeben; 24.08.2010 в 19:12. |
24.08.2010, 18:10 | #93 (ссылка) |
Новичок
Регистрация: 21.08.2010
Сообщений: 8
Репутация: 0
|
профиксил hijackthis
пробовал выполнить указанный скрипт в avz, появилась Ошибка: ')' expected в позиции 13:134 avz: http://exfile.ru/121596 hijackthis: http://exfile.ru/121597 |
24.08.2010, 20:48 | #96 (ссылка) |
Мастер
|
perezsanchez, выполните в AVZ такой скрипт:
Код:
var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. |
Ads | |
25.08.2010, 13:18 | #97 (ссылка) |
Новичок
Регистрация: 21.08.2010
Сообщений: 8
Репутация: 0
|
Iljeben, спасибо, вроде бы пока все нормально.
но вот ошибка: Generic Host Process for Win32 Services периодически вылазит, приходится перезагружать компьютер, чтобы Интернет снова заработал. чем вызвано появление этой ошибки не знаю, в сети про нее разное пишут. |
29.08.2010, 21:45 | #100 (ссылка) |
Новичок
Регистрация: 29.08.2010
Сообщений: 4
Репутация: 0
|
syscache
Iljeben, прошу помощи.
Система была блокирована банер-вирусом. После устранения указанной проблемы видимо остались "следы". Процессор не может успокоиться, связь с Интернет пропадает почти сразу. Выполнил стандартный скрипт №3 в avz - http://exfile.ru/122573 hijackthis - http://exfile.ru/122575. С уважением. |
29.08.2010, 22:49 | #101 (ссылка) |
Мастер
|
pmaster, пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe O4 - HKLM\..\Run: [650] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe O4 - HKLM\..\Run: [3823068] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [7977606] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [5893] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [685152] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [060490] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [281973] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [7657] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [5987] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [162] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [411937] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [87589] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [998530] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [894] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [175] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [7630] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [18647] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [2301] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [55485] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [5013] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [490635] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [6247] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe |
29.08.2010, 22:49 | #102 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\syscache.exe'); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); TerminateProcessByName('c:\windows\cfdrive32.exe'); DeleteFile('c:\windows\cfdrive32.exe'); DeleteFile('c:\windows\system32\msvmiode.exe'); DeleteFile('c:\windows\system32\syscache.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-7641300175-5349578031-981013079-2003\syscr.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\ltzqai.exe'); DeleteFile('C:\WINDOWS\cfdrive32.exe'); DeleteFile('C:\WINDOWS\system32\23.exe'); DeleteFile('C:\WINDOWS\system32\70.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','650'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3823068'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7977606'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5893'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','685152'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','060490'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','281973'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7657'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5987'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','162'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','411937'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','87589'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','998530'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','894'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','175'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7630'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','18647'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2301'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','55485'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5013'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','490635'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6247'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; ClearHostsFile; RebootWindows(true); end. |
29.08.2010, 23:28 | #103 (ссылка) |
Новичок
Регистрация: 29.08.2010
Сообщений: 4
Репутация: 0
|
Большое спасибо!
Процессов syscache нет, Интернет пока не пробовал (пишу с другой машины). Вот ссылки: avz - http://exfile.ru/122614 HijackThis - http://exfile.ru/122615 При выполнении скрипта №2 стояла флешка, и судя по отчёту, на неё есть подозрение. Что бы Вы посоветовали изменить в настройках ОС (отключить некоторые службы и т.п)? С уважением. |
29.08.2010, 23:48 | #104 (ссылка) |
Мастер
|
pmaster, со вставленной флешкой.
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('F:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Возможно вирусы, трояны | Valera2 | Безопасность | 8 | 23.11.2010 19:35 |
Трояны на компе | DarkKiber | Безопасность | 9 | 17.11.2010 20:12 |
Помогите удалить трояны syscr.exe. Лог AVZ имеется. | Аlexandr | Безопасность | 4 | 29.08.2010 16:17 |
Трояны не дают запустить браузер | router | Безопасность | 28 | 31.05.2010 13:14 |
помогите пожалуйста вылечить компьютер. трояны одолели | akb607 | Безопасность | 12 | 18.04.2010 20:38 |
Трояны в system32 | Max_NV | Windows XP | 23 | 05.03.2010 00:12 |
Трояны и спамы | Даниэль | Безопасность | 3 | 27.02.2010 01:26 |
Трояны задолбали!!! | Эзен | Безопасность | 2 | 30.04.2008 18:06 |