Junior Member
Вес репутации
47
syitm вирус
Столкнулся с неприятностью, после переустановки Windows и обновлению программ, откуда невозьмись появился вирус syitm и его собратья. Снова переустанавливал Windows и вновь они появлялись после 2-3 перезагрузок.
Так же при загрузке Windows, появляются 2 ошибки syitm (отправить отчет) и 2 ошибки aadrive32 аналогично.
Windows XP SP3.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) .liTil , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('syitm.exe');
QuarantineFile('C:\WINDOWS\system32\75.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\Documents and Settings\Vadim\Application Data\Tmsysr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('syitm.exe','');
DeleteFile('syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\Documents and Settings\Vadim\Application Data\Tmsysr.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tmsysr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин " наверху темы).
Сделайте повторные логи.
Junior Member
Вес репутации
47
спасибо, сделал всё.
прикладываю лог.
и ещё догадка, возможно эта зараза атакует основной жесткий диск с других ЖД установленных? где музыка, софт.
если истребить её на диске "C" она снова допустим будет "размножаться" с диска "F"
ADD:
Снова начали появляться процессы, с подобными именами 67.exe и nfhl.exe и грузить процессор и оперативную память.
Вложения
Последний раз редактировалось .liTil; 20.08.2011 в 13:49 .
Причина: Добавлено
Junior Member
Вес репутации
47
похоже вирусы остались..
все свежие логи.
Вложения
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
TerminateProcessByName('syitm.exe');
QuarantineFile('C:\WINDOWS\system32\72.exe','');
QuarantineFile('C:\WINDOWS\system32\66.exe','');
QuarantineFile('C:\WINDOWS\system32\10.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
DeleteFile('C:\Documents and Settings\Vadim\Application Data\Tmsysr.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\10.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\66.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tmsysr');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин " наверху темы).
Сделайте повторные логи.
Сделайте лог MBAM .
Junior Member
Вес репутации
47
логи.
не думал что у меня столько инфецированных объектов.
Вложения
Удалите в MBAM все, кроме :
Код:
Зараженные файлы:
e:\program files\kemulator 0.9.8 lite\kemulator.exe (Trojan.Agent) -> No action taken.
f:\от айвара\Nero 8\nero8x.exe (RiskWare.Tool.CK) -> No action taken.
f:\от айвара\xilisoft video converter 3.1.49.1207b_full\crack + keygen\xilisoft\Crack.exe (Malware.Packer.Gen) -> No action taken.
f:\от айвара\xilisoft video converter 3.1.49.1207b_full\crack + keygen\xilisoft\Keymaker.exe (Malware.Packer.Gen) -> No action taken.
f:\от айвара\xilisoft video converter 3.1.49.1207b_full\crack + keygen\xilisoft\xilisoftkeygen.exe (Malware.Packer.Gen) -> No action taken.
f:\от айвара\xilisoft video converter 3.1.49.1207b_full\Rus\xilisoftkeygen.exe (Malware.Packer.Gen) -> No action taken.
t:\Всячина\hacktool's\Tools\sort.exe (Trojan.Downloader) -> No action taken.
e:\программы\imtale_4.1.2\imtale.exe (Flooder.Talim) -> No action taken.
e:\Разное\Игры\установки\crysis. антология\Crysis\!KeyGen\rzr-crys.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\sony_vegas_video_6.0d_[torrents.ru]\Crack\sony all products keygen.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\от\Nero 8\nero8x.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\от\WinRAR\unblwinrar-patch\unblwinrar-patch.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\от\xilisoft video converter 3.1.49.1207b_full\crack + keygen\xilisoft\Crack.exe (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\от\xilisoft video converter 3.1.49.1207b_full\crack + keygen\xilisoft\Keymaker.exe (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\от\xilisoft video converter 3.1.49.1207b_full\crack + keygen\xilisoft\xilisoftkeygen.exe (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\от\xilisoft video converter 3.1.49.1207b_full\Rus\xilisoftkeygen.exe (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\Прочее\cheatengine54.exe (Riskware.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\antivir\avast! professional edition\keygen.exe (Trojan.Dropper.PGen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\antivir\drweb433\drupdate-6-se2-testver.exe (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\antivir\nav2007xp&vista\KEYGEN\Keygen.exe (Malware.Gen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\antivir\zonealarm\keygen.exe (Riskware.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\arh shell\winace archiver v2.6\KEYMAKER.EXE (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\arh shell\winace archiver v2.6\PATCH.EXE (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\рениаматор\soft\cddvd\anyreader v2.2.138\Patch\patch.exe (PUP.Hacktool.Patcher) -> No action taken.
e:\Разное\Софт\рениаматор\soft\cddvd\CloneCD\8qjbvgard9\keyMaker.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\рениаматор\soft\cddvd\CloneCD\8qjbvgard9\Patch.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\cddvd\clonedvdmobile\clonedvd mobile patch\Patch.exe (PUP.Hacktool.Patcher) -> No action taken.
e:\Разное\Софт\рениаматор\soft\cddvd\nero burning rom\keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\grafikizdat\adobe acrobat 8 professional\aar_8_crack__keygen_new\adobe acrobat 8 keygen\keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\grafikizdat\adobe illustrator\keygen\adobecs2rus_kg.exe (Trojan.Agent.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\grafikizdat\irfanview 3.98\Russian.dll (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\grafikizdat\photoshop\aps3ekg.exe (RiskWare.Tool.HCK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\grafikizdat\quarkxpress_passport_v7.02\PARADOX\quark_xpress_7_keygen.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\active webcam v7.3\keygen\keygen.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\adobe dreamweaver\Keygen\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\adobe flash cs3\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\BWMeter\bwmeter.3.1.0-ismail.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\FlashGet\flashgetv1x_patch.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\ftp voyager 11.0.5.1\260ddf1e262003d752e42d51349b02c3940\patch.ftpvoyager.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\ftp voyager 11.0.5.1\260ddf1e262003d752e42d51349b02c3940\patch.fvscheduler.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\getright professional\GetRight\GetRight.exe (Trojan.Agent) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\teleport pro 1.42\keymaker.exe (Trojan.Agent) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\hideip_platinum\keygen.exe (Trojan.Agent.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\internetweb\maxthon 1.5.6 build 42\setup.maxthon.1.52.ru.exe (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\multimedia\#1 dvd ripper 4.0\Patch.exe (Malware.NSPack) -> No action taken.
e:\Разное\Софт\рениаматор\soft\multimedia\adobe audition v2.0\Crack\keygen.exe (Trojan.Agent) -> No action taken.
e:\Разное\Софт\рениаматор\soft\multimedia\bs_player_pro\KeyGen.exe (Trojan.Dropper.PGen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\multimedia\winamp 5.32 professional\Crack\Keygen\Keymaker.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\рениаматор\soft\multimedia\windvd platinum v.8\keygen.exe (Trojan.Dropper.PGen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\multimedia\winmpg video convert 6.51\winmpg651\Crack\winmpgvideoconvertv651_crack.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\multimedia\xilisoft video converter 3.1.30.0511b\xilisoftkeygen.exe (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\multimedia\proshow producer 2.6\Patch.exe (PUP.Hacktool.Patcher) -> No action taken.
e:\Разное\Софт\рениаматор\soft\multimedia\soundforge\SSF9\PACH.exE (PUP.Hacktool.Patcher) -> No action taken.
e:\Разное\Софт\рениаматор\soft\office 2007\[Keygen]\msa2007kg.exe (Hacktool.Agent) -> No action taken.
e:\Разное\Софт\рениаматор\soft\office 2007\[Keygen]\msoe2007kg.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\system\acronis true image\Keygens\acronis keygen trueimage10 acme en.exe (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\system\acronis true image\Keygens\acronis true image home v10.0 and acronis snap deploy v2.0 (english).exe (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\system\acronis true image\Keygens\keygen core.exe (Trojan.Dropper.PGen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\system\acronis true image\Keygens\other acronis products keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\system\ashampoo uninstaller platinum suite 2.0\ashampoo.uninstaller.platinum.2.keygen-snd\ashampoouninstallerplatinum.exe (Trojan.Downloader) -> No action taken.
e:\Разное\Софт\рениаматор\soft\system\tweakxp pro 4.0.7\Setup 3\tweak-xp pro 4.0.7 retail patch.exe (Trojan.Dropper.PGen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\system\vista manager\vistamanagerkeygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\system\winhex v11.7.sr-10\KEYGEN.EXE (RiskWare.Tool.CK) -> No action taken.
e:\Разное\Софт\рениаматор\soft\system\jv16 powertools 2006 v1.5.2.344\jv16pt1.5.2.344\patch.exe (Malware.Packer.Gen) -> No action taken.
e:\Разное\Софт\рениаматор\soft\system\recover my files\Keygen.exe (Trojan.Downloader) -> No action taken.
Сделайте повторный лог MBAM.
Junior Member
Вес репутации
47
Вложения
Удалите в MBAM :
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Зараженные папки:
(Вредоносных программ не обнаружено)
Зараженные файлы:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\838PNLWD\w[2].exe (Worm.Dorkbot) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\NMOV96HI\w[1].exe (Worm.Dorkbot) -> No action taken.
c:\WINDOWS\system32\04.exe (Worm.Dorkbot) -> No action taken.
c:\WINDOWS\system32\07.exe (Worm.Dorkbot) -> No action taken.
c:\WINDOWS\system32\26.exe (Worm.Dorkbot) -> No action taken.
c:\WINDOWS\system32\33.exe (Worm.Dorkbot) -> No action taken.
c:\WINDOWS\system32\34.exe (Worm.Dorkbot) -> No action taken.
c:\WINDOWS\system32\70.exe (Worm.Dorkbot) -> No action taken.
c:\WINDOWS\system32\77.exe (Worm.Dorkbot) -> No action taken.
c:\WINDOWS\system32\qfdkernc.dll (Worm.Conficker) -> No action taken.
t:\system volume information\_restore{8b6f18fe-8a9d-4b5b-927d-1de80f71d80e}\RP88\A0028495.exe (PUP.IpdBrute) -> No action taken.
t:\system volume information\_restore{8b6f18fe-8a9d-4b5b-927d-1de80f71d80e}\RP88\A0028497.exe (PUP.IpdBrute) -> No action taken.
Сделайте повторный лог MBAM.
Junior Member
Вес репутации
47
Вложения
Junior Member
Вес репутации
47
Спасибо. Помогу сайту монеткой.
Add: Открыл "Мой компьютер" зашел на локальный диск, к своему удивлению обнаружил что снова стали появляться "левые" процессы. Беда опять.
Последний раз редактировалось .liTil; 21.08.2011 в 16:07 .
Делайте новые логи.
Junior Member
Вес репутации
47
логи.
предположение: может быть какой то файл качает из инета эту дрянь ?
вчера отформатировал диск "C", поставил NOD32, сегодня полез в интернет, и заметил что трафик идёт посильнее (т.е. как при скачивании файла) и снова начали появляться процессы.
Вложения
Последний раз редактировалось .liTil; 22.08.2011 в 18:47 .
Удалите в MBAM :
Код:
араженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Malware.Gen) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Worm.AutoRun.Gen) -> Value: Tnaww -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: (Explorer.exe) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Зараженные папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Зараженные файлы:
c:\WINDOWS\aadrive32.exe (Malware.Gen) -> No action taken.
c:\documents and settings\Vadim\application data\270.tmp (Malware.Gen) -> No action taken.
c:\documents and settings\Vadim\application data\2AC.tmp (Malware.Gen) -> No action taken.
c:\system volume information\_restore{d37badf6-8a70-46df-ad79-c70355453c85}\RP9\A0001642.exe (Malware.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Сделайте повторный лог MBAM.
Расшаренные папки или какие-либо P2P-клиенты включены?
Junior Member
Вес репутации
47
опять лог.
расшаренных папок нет, p2p клиенты не включены.
и ещё, диск "C" и "E" физически один, но поделен, может быть в нём и шатается этот вирус ?
может быть после смены винчестера пропадет проблема и так подумываю сменить винт, как думаете ?
Вложения
Удалите в MBAM :
Код:
Зараженные файлы:
e:\system volume information\_restore{d37badf6-8a70-46df-ad79-c70355453c85}\RP9\A0001651.exe (Malware.Packer.Gen) -> No action taken.
e:\system volume information\_restore{d37badf6-8a70-46df-ad79-c70355453c85}\RP9\A0001654.exe (Trojan.Downloader) -> No action taken.
e:\system volume information\_restore{d37badf6-8a70-46df-ad79-c70355453c85}\RP9\A0001655.exe (Trojan.Agent) -> No action taken.
e:\system volume information\_restore{d37badf6-8a70-46df-ad79-c70355453c85}\RP9\A0001656.exe (Trojan.Agent.CK) -> No action taken.
Сделайте повторный лог MBAM.
Сообщение от
.liTil
и ещё, диск "C" и "E" физически один, но поделен, может быть в нём и шатается этот вирус ?
Нет, в логах его не видно. Он обычно через расшаренные папки и P2P-клиенты лезет.
Junior Member
Вес репутации
47
хоть в логе ничего и нет, в папке system32 есть файлы 35.exe, 40.exe и т.д.
Вложения