 |
|
|
14.04.2011, 21:13
|
#1 (ссылка) |
|
Новичок
Регистрация: 14.04.2011
Сообщений: 11
Репутация: 0
|
Помогите ".exe","vyre32.exe","exsys.exe"...!!!(логи avz и hijackthis внутри )
Использую сотовый как модем, при подключении с недавнего времени система грузится огромным количеством процессов на 100%. Пытаюсь разобраться уже 2 дня помогите..!!!
 Скачать avz_log.txt с WebFile.RU Скачать hijackthis.log с WebFile.RU |
|
|
14.04.2011, 21:36
|
#3 (ссылка) |
|
Новичок
Регистрация: 14.04.2011
Сообщений: 11
Репутация: 0
|
Сори точно вот он(архив)
Скачать virusinfo_syscure.zip с WebFile.RU |
|
|
|
14.04.2011, 21:44
|
#4 (ссылка) |
|
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\boots.exe');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
QuarantineFile('C:\WINDOWS\system32\.exe','');
QuarantineFile('c:\boots.exe','');
QuarantineFile('C:\WINDOWS\ghdrive32.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
DeleteFile('C:\WINDOWS\system32\.exe');
DeleteFile('c:\boots.exe');
DeleteFile('C:\WINDOWS\ghdrive32.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
14.04.2011, 22:28
|
#6 (ссылка) |
|
Эксперт
|
Ernesto, выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\vyre32.exe');
TerminateProcessByName('c:\documents and settings\ernesto\application data\visdrive.exe');
TerminateProcessByName('c:\windows\jodrive32.exe');
TerminateProcessByName('c:\windows\ghdrive32.exe');
TerminateProcessByName('c:\documents and settings\ernesto\local settings\application data\589437.exe');
TerminateProcessByName('c:\windows\system32\exsys.exe');
TerminateProcessByName('c:\windows\system32\.exe');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
QuarantineFile('C:\Documents and Settings\Ernesto\hddd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('c:\windows\system32\vyre32.exe','');
QuarantineFile('c:\documents and settings\ernesto\application data\visdrive.exe','');
QuarantineFile('c:\windows\jodrive32.exe','');
QuarantineFile('c:\windows\ghdrive32.exe','');
QuarantineFile('c:\documents and settings\ernesto\local settings\application data\589437.exe','');
QuarantineFile('c:\windows\system32\exsys.exe','');
QuarantineFile('c:\windows\system32\.exe','');
DeleteFile('c:\windows\system32\exsys.exe');
DeleteFile('c:\documents and settings\ernesto\local settings\application data\589437.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\Documents and Settings\Ernesto\hddd.exe');
DeleteFile('C:\Documents and Settings\Ernesto\Application Data\visdrive.exe');
DeleteFile('C:\WINDOWS\ghdrive32.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\WINDOWS\system32\.exe');
DeleteFile('C:\WINDOWS\system32\vyre32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
DeleteFile('C:\WINDOWS\system32\17.scr');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userin it.exe,');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
|
|
|
|
15.04.2011, 13:20
|
#7 (ссылка) | |
|
Новичок
Регистрация: 14.04.2011
Сообщений: 11
Репутация: 0
|
Цитата:
---------- Добавлено в 13:58 ---------- Предыдущее сообщение было написано в 13:56 ---------- Хотя нет вот сча запустился...сейчас пришлю результат.. ---------- Добавлено в 14:20 ---------- Предыдущее сообщение было написано в 13:58 ---------- Всё сделал вот архив Скачать virusinfo_syscheck.zip с WebFile.RU и ещё у меня постоянно выскакивают вот такие ошибки "Error: GetFileText. Browselt. Permission denied" и кроме процессов из темы запускается огромное количество приложений "8" и ","....жду помощи.. |
|
|
|
|
15.04.2011, 13:27
|
#8 (ссылка) |
|
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\vyre32.exe');
TerminateProcessByName('c:\documents and settings\ernesto\application data\visdrive.exe');
TerminateProcessByName('c:\windows\system32\svcs32.exe');
TerminateProcessByName('c:\windows\jodrive32.exe');
TerminateProcessByName('c:\windows\system32\.exe');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('c:\windows\system32\vyre32.exe','');
QuarantineFile('c:\documents and settings\ernesto\application data\visdrive.exe','');
QuarantineFile('c:\windows\system32\svcs32.exe','');
QuarantineFile('c:\windows\system32\.exe','');
DeleteFile('c:\windows\system32\svcs32.exe');
DeleteFile('c:\documents and settings\ernesto\application data\visdrive.exe');
DeleteFile('c:\windows\system32\vyre32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\WINDOWS\system32\.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svcs32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','vyre32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
|
|
|
| Ads | |
|
15.04.2011, 13:40
|
#9 (ссылка) |
|
Новичок
Регистрация: 14.04.2011
Сообщений: 11
Репутация: 0
|
Процессы пропали приложения "8" и "," тоже но это только в безопасном режиме в обычном ещё не пробовал загружать вот архив Скачать virusinfo_syscheck.zip с WebFile.RU жду дальнейших указаний.
---------- Добавлено в 14:40 ---------- Предыдущее сообщение было написано в 14:38 ---------- А нет вот опять начинают появляться приложения "8" и "," и очень много разных не знакомых процессов...((([COLOR="Silver"] |
|
|
|
15.04.2011, 13:44
|
#10 (ссылка) |
|
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Ernesto,
Цитата:Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." |
|
|
|
15.04.2011, 13:45
|
#11 (ссылка) | ||
|
Мастер
|
Цитата:
Цитата:
|
||
|
|
|
15.04.2011, 14:20
|
#12 (ссылка) |
|
Новичок
Регистрация: 14.04.2011
Сообщений: 11
Репутация: 0
|
Вот выскочила новая ошибка (если это может помочь) " Not enough memory to run; quitting" и ещё одна "System Error &H80004005 (-2147467259). Неопознанная ошибка"
---------- Добавлено в 15:20 ---------- Предыдущее сообщение было написано в 14:50 ---------- Восстановление системы отключил вот архив Скачать virusinfo_syscheck.zip с WebFile.RU |
|
|
|
15.04.2011, 14:56
|
#13 (ссылка) |
|
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\usbmngr.exe','');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\60.scr');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\usbmngr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
15.04.2011, 16:32
|
#14 (ссылка) |
|
Новичок
Регистрация: 14.04.2011
Сообщений: 11
Репутация: 0
|
Вот архив Скачать virusinfo_syscheck.zip с WebFile.RU
---------- Добавлено в 17:32 ---------- Предыдущее сообщение было написано в 16:46 ---------- Вот лог ComboFix'а http://zalil.ru/30868395 |
|
|
|
15.04.2011, 16:59
|
#15 (ссылка) |
|
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Ernesto, Вот этот файл скачайте http://webfile.ru/5263040 на рабочий стол
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe  Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Выполните скрипт в AVZ Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\ghdrive32.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\repsvc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteAVUpdate;
RebootWindows(true);
end.
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
