Показано с 1 по 16 из 16.

Помогите избавится от вирусов syscr.exe, ltzqai.exe (заявка № 86875)

  1. #1
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    8
    Вес репутации
    50

    Помогите избавится от вирусов syscr.exe, ltzqai.exe

    Здраствуйте! Помогите избавится от вирусов syscr.exe, ltzqai.exe...
    Вот такая у меня проблема:
    Вчера компьютер начал выдавать ошибки и зависать. я решил проверить комп на вирусы и nod32 нашел парочку... но дальше начало сколько зарази лезть (типа http://208.53.183.171/***.exe и т.д.), что ни я ни nod32 уже не смог справиться. пробовал и АVZ (материться, но не лечит) и dr.Web (не реагирует). убивал вручную из- под Live XP, опять появляется...
    C:\Recycler\S-1-5-21-3780043786-0516275048-213604386-4793\syscr.exe
    C:\Recycler\S-1-5-21-4937574439-0807363804-594879370-4368\syscr.exe
    C:\Documents and Settings\
    Администратор\Application Data\ltzqai.exe
    С:\Windows\System32\26.exe
    С:\Windows\System32\32.exe
    С:\Windows\System32\42.exe
    С:\Windows\System32\54.exe
    С:\Windows\System32\88.exe
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[1].exe
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[2].exe
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[3].exe
    C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\HKY1E6WX\vbf[1].exe
    C:\Documents and Settings\Администратор\Local Settings\Temp\335.exe
    C:\Documents and Settings\Администратор\Local Settings\Temp\545.exe

    вотлоги...
    Последний раз редактировалось gorgik65; 31.08.2010 в 18:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\26.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4937574439-0807363804-594879370-4368\syscr.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-4937574439-0807363804-594879370-4368\syscr.exe');
     DeleteFile('C:\WINDOWS\system32\26.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

    Сделайте новые логи.

    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  4. #3
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    8
    Вес репутации
    50
    все сделал... вот новые логи...

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\36.exe','');
     QuarantineFile('C:\WINDOWS\system32\74.exe','');
     QuarantineFile('C:\WINDOWS\system32\21.exe','');
     QuarantineFile('C:\WINDOWS\system32\32.exe','');
     QuarantineFile('C:\WINDOWS\system32\42.exe','');
     QuarantineFile('C:\WINDOWS\system32\54.exe','');
     QuarantineFile('C:\WINDOWS\system32\88.exe','');
     DeleteFile('C:\WINDOWS\system32\36.exe');
     DeleteFile('C:\WINDOWS\system32\74.exe');
     DeleteFile('C:\WINDOWS\system32\21.exe');
     DeleteFile('C:\WINDOWS\system32\32.exe');
     DeleteFile('C:\WINDOWS\system32\42.exe');
     DeleteFile('C:\WINDOWS\system32\54.exe');
     DeleteFile('C:\WINDOWS\system32\88.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

    Сделайте новый лог RSIT

  6. #5
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    8
    Вес репутации
    50
    сделано...

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    В папке C:\WINDOWS\system32\ найдите и удалите файлы с цифровым именем, например C:\WINDOWS\system32\62.exe

    Сделайте лог http://virusinfo.info/showthread.php?t=53070

  8. #7
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    8
    Вес репутации
    50
    C:\WINDOWS\system32\62.exe - удалил...

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Больше нет?

    Делайте лог (ссылка выше)

  10. #9
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    8
    Вес репутации
    50
    В папке C:\WINDOWS\system32\ файлов с цифровым именем больше нет

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Удалите при помощи МВАМ:
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> No action taken.

    Зараженные файлы:
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[1].exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[2].exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[3].exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[4].exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\J0ZNYRCZ\v[1].exe (Trojan.Dropper) -> No action taken.

    C:\RECYCLER\S-1-5-21-3780043786-0516275048-213604386-4793\syscr.exe (Trojan.Dropper) -> No action taken.
    C:\RECYCLER\S-1-5-21-4937574439-0807363804-594879370-4368\syscr.exe (Trojan.Dropper) -> No action taken.
    C:\RECYCLER\S-1-5-21-9723548627-9610735859-533451371-7240\syscr.exe (Trojan.Dropper) -> No action taken.

    C:\Documents and Settings\Администратор\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.
    Перезагрузите ПК. Сделайте новый лог МВАМ

  12. #11
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    8
    Вес репутации
    50
    новый лог МВАМ...

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Что с проблемой?

  14. #13
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    8
    Вес репутации
    50
    за время от выполнения первого скрипта, написанного Вами, до сих пор никаких происшествий не было. комп не зависал, ошибки типа "пямять не может быть read (written)" тоже не было, атаки вирусов прекратились...

    стало быть чисто?

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    В логах я заразы не вижу

  16. #15
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    8
    Вес репутации
    50
    Я вручную пересмотрел - вроде тоже не видно.....

    Четкость Ваших команд (от того и моих действий) спасла меня от нежелательной переустановки винды. Низкий Вам поклон от меня и большая благодарность.!!!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администратор\\application data\\ltzqai.exe - P2P-Worm.Win32.Palevo.auzj ( DrWEB: Trojan.DownLoader1.19167, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
      2. c:\\recycler\\s-1-5-21-4937574439-0807363804-594879370-4368\\syscr.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
      3. c:\\windows\\system32\\21.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
      4. c:\\windows\\system32\\26.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
      5. c:\\windows\\system32\\32.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
      6. c:\\windows\\system32\\36.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
      7. c:\\windows\\system32\\42.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
      8. c:\\windows\\system32\\54.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
      9. c:\\windows\\system32\\74.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
      10. c:\\windows\\system32\\88.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )


  • Уважаемый(ая) gorgik65, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите избавится от вирусов!
      От Lilblaw в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.11.2010, 22:45
    2. Как избавиться от вирусов syscr.exe, ltzqai.exe
      От ПЭДРО в разделе Помогите!
      Ответов: 47
      Последнее сообщение: 16.10.2010, 21:29
    3. Файлы cfdrive32,exe,syscr.exe, ltzqai.exe, msvmiode.exe (заявка №32453)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 15.10.2010, 18:00
    4. Помогите побороть ltzqai.exe, syscr.exe, msvmiode.exe
      От ramzes.ru в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 10.09.2010, 22:17
    5. Помогите избавится от вирусов!
      От dsd в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00409 seconds with 17 queries