-
Junior Member
- Вес репутации
- 53
Помогите побороть ltzqai.exe, syscr.exe, msvmiode.exe
У пользователя с переодически отваливается интернет. При сканировании AVZ были найдены следующие зверки (ltzqai.exe, syscr.exe, msvmiode.exe). Поискав по форуму решение проблеммы написал сам скриптик для лечения. Вреде вылечил. Файлов нет, в реестре записей нет об этой гадости, но после 2-3_х перезагрузок все опять возвращается.
Почему то в AVZ не создается virusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7040079611-5694309010-670975653-7912\syscr.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\vbsdfe0.dll','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\15.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\vbsdfe0.dll');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7040079611-5694309010-670975653-7912\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи +
- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Не могу карантин прекрепить
quarantine.zip:
113.3 Кб превысил(а) предел на форуме
Все получилось
Последний раз редактировалось ramzes.ru; 03.09.2010 в 12:45.
Причина: не удавалось загрузить файл
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
DeleteFile('C:\WINDOWS\system32\28.exe');
QuarantineFile('C:\WINDOWS\system32\37.exe','');
DeleteFile('C:\WINDOWS\system32\37.exe');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
DeleteFile('C:\WINDOWS\system32\38.exe');
QuarantineFile('C:\WINDOWS\system32\52.exe','');
DeleteFile('C:\WINDOWS\system32\52.exe');
QuarantineFile('C:\WINDOWS\system32\47.exe','');
DeleteFile('C:\WINDOWS\system32\47.exe');
QuarantineFile('C:\WINDOWS\system32\84.exe','');
DeleteFile('C:\WINDOWS\system32\84.exe');
QuarantineFile('C:\WINDOWS\system32\30.exe','');
DeleteFile('C:\WINDOWS\system32\30.exe');
QuarantineFile('C:\WINDOWS\system32\73.exe','');
DeleteFile('C:\WINDOWS\system32\73.exe');
QuarantineFile('C:\WINDOWS\system32\56.exe','');
DeleteFile('C:\WINDOWS\system32\56.exe');
QuarantineFile('C:\WINDOWS\system32\17.exe','');
DeleteFile('C:\WINDOWS\system32\17.exe');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
DeleteFile('C:\WINDOWS\system32\88.exe');
QuarantineFile('C:\WINDOWS\system32\76.exe','');
DeleteFile('C:\WINDOWS\system32\76.exe');
QuarantineFile('C:\WINDOWS\system32\71.exe','');
DeleteFile('C:\WINDOWS\system32\71.exe');
QuarantineFile('C:\WINDOWS\system32\74.exe','');
DeleteFile('C:\WINDOWS\system32\74.exe');
QuarantineFile('C:\WINDOWS\system32\34.exe','');
DeleteFile('C:\WINDOWS\system32\34.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 53
Гмер не стартует. Во вложении скрин ошибки. Только карантин могу выложить.
-
Сделайте лог Vba32 AntiRootkit в режиме ordinary
-
-
Junior Member
- Вес репутации
- 53
Vba32 AntiRootkit - по времени долго производиться исследование системы? У меня уже 10 мин. висит на Kernel modules - Verifying: C:\WINDOWS\system32\ntdll.dll внешне ничего не происходит HDD ни какой активности не проявляет.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\pss\siszpe32.exeStartup
Driver::
fymxpw
vpnar
NetSvc::
vpnar
Folder::
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Olga.Mazurenko^Главное меню^Программы^Автозагрузка^siszpe32.exe]
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\s-1-5-21-7040079611-5694309010-670975653-7912\\syscr.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\cfdrive32.exe - Trojan.Win32.VB.akia ( DrWEB: Trojan.AVKill.2, BitDefender: Trojan.Dropper.Agent.VBT, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.ghb ( DrWEB: Trojan.Spambot.9106, BitDefender: Gen:Variant.TDss.18, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Inject-AEP [Trj] )
- c:\\windows\\system32\\vbsdfe0.dll - Packed.Win32.Krap.g ( DrWEB: Trojan.Packed.2474, BitDefender: Packer.Malware.NSAnti.1, AVAST4: Win32:Kavos [Trj] )
- c:\\windows\\system32\\15.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\17.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\28.exe - P2P-Worm.Win32.Palevo.avbr ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Agent.AQOV, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\30.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\34.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\37.exe - P2P-Worm.Win32.Palevo.avbr ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Agent.AQOV, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\38.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\42.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\47.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\52.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\56.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\57.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\64.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\67.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\71.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\73.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\74.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\76.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\84.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\88.exe - P2P-Worm.Win32.Palevo.avbw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4970331, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
-