-
Junior Member
- Вес репутации
- 50
Помогите избавится от вирусов syscr.exe, ltzqai.exe
Здраствуйте! Помогите избавится от вирусов syscr.exe, ltzqai.exe...
Вот такая у меня проблема:
Вчера компьютер начал выдавать ошибки и зависать. я решил проверить комп на вирусы и nod32 нашел парочку... но дальше начало сколько зарази лезть (типа http://208.53.183.171/***.exe и т.д.), что ни я ни nod32 уже не смог справиться. пробовал и АVZ (материться, но не лечит) и dr.Web (не реагирует). убивал вручную из- под Live XP, опять появляется...
C:\Recycler\S-1-5-21-3780043786-0516275048-213604386-4793\syscr.exe
C:\Recycler\S-1-5-21-4937574439-0807363804-594879370-4368\syscr.exe
C:\Documents and Settings\Администратор\Application Data\ltzqai.exe
С:\Windows\System32\26.exe
С:\Windows\System32\32.exe
С:\Windows\System32\42.exe
С:\Windows\System32\54.exe
С:\Windows\System32\88.exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[1].exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[2].exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[3].exe
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\HKY1E6WX\vbf[1].exe
C:\Documents and Settings\Администратор\Local Settings\Temp\335.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\545.exe
вотлоги...
Последний раз редактировалось gorgik65; 31.08.2010 в 18:38.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4937574439-0807363804-594879370-4368\syscr.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4937574439-0807363804-594879370-4368\syscr.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи.
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
все сделал... вот новые логи...
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\36.exe','');
QuarantineFile('C:\WINDOWS\system32\74.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\32.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
QuarantineFile('C:\WINDOWS\system32\54.exe','');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\54.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новый лог RSIT
-
-
Junior Member
- Вес репутации
- 50
-
В папке C:\WINDOWS\system32\ найдите и удалите файлы с цифровым именем, например C:\WINDOWS\system32\62.exe
Сделайте лог http://virusinfo.info/showthread.php?t=53070
-
-
Junior Member
- Вес репутации
- 50
C:\WINDOWS\system32\62.exe - удалил...
-
Больше нет?
Делайте лог (ссылка выше)
-
-
Junior Member
- Вес репутации
- 50
В папке C:\WINDOWS\system32\ файлов с цифровым именем больше нет
-
Удалите при помощи МВАМ:
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[1].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[2].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[3].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HV170PQP\v[4].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\J0ZNYRCZ\v[1].exe (Trojan.Dropper) -> No action taken.
C:\RECYCLER\S-1-5-21-3780043786-0516275048-213604386-4793\syscr.exe (Trojan.Dropper) -> No action taken.
C:\RECYCLER\S-1-5-21-4937574439-0807363804-594879370-4368\syscr.exe (Trojan.Dropper) -> No action taken.
C:\RECYCLER\S-1-5-21-9723548627-9610735859-533451371-7240\syscr.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.
Перезагрузите ПК. Сделайте новый лог МВАМ
-
-
Junior Member
- Вес репутации
- 50
-
-
-
Junior Member
- Вес репутации
- 50
за время от выполнения первого скрипта, написанного Вами, до сих пор никаких происшествий не было. комп не зависал, ошибки типа "пямять не может быть read (written)" тоже не было, атаки вирусов прекратились...
стало быть чисто?
-
-
-
Junior Member
- Вес репутации
- 50
Я вручную пересмотрел - вроде тоже не видно.....
Четкость Ваших команд (от того и моих действий) спасла меня от нежелательной переустановки винды. Низкий Вам поклон от меня и большая благодарность.!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\ltzqai.exe - P2P-Worm.Win32.Palevo.auzj ( DrWEB: Trojan.DownLoader1.19167, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-4937574439-0807363804-594879370-4368\\syscr.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\21.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\26.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\32.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\36.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\42.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\54.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\74.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\88.exe - P2P-Worm.Win32.Palevo.auzv ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Dropper.Agent.VBS, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
-