Показано с 1 по 5 из 5.

cfdrive32 + ltzquai (заявка № 92292)

  1. #1
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    6
    Вес репутации
    25

    Exclamation cfdrive32 + ltzquai

    Пролечил Cureit'ом компьютер + avz + hijack на предмет удаления cfdrive32.exe, ltzquai.exe, syscr.exe и с дюжину постоянно вылезающих вирусных jpg файлов, не помогло через пару дней снова стали лезть.

    Можете, пожалуйста, дать скрипт на зачистку от этой напасти
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\RECYCLER\S-1-5-21-8447865198-5413836727-516883269-3008\syscr.exe');
     QuarantineFile('I:\autorun.inf','');
     QuarantineFile('L:\autorun.inf','');
     DeleteFile('C:\WINDOWS.0\cfdrive32.exe');
     DeleteFile('C:\WINDOWS.0\system32\84.exe');
     DeleteFile('C:\WINDOWS.0\system32\72.exe');
     DeleteFile('C:\WINDOWS.0\system32\52.exe');
     DeleteFile('C:\WINDOWS.0\system32\44.exe');
     DeleteFile('C:\WINDOWS.0\system32\40.exe');
     DeleteFile('C:\WINDOWS.0\system32\38.exe');
     DeleteFile('C:\WINDOWS.0\system32\33.exe');
     DeleteFile('C:\WINDOWS.0\system32\31.exe');
     DeleteFile('C:\WINDOWS.0\system32\27.exe');
     DeleteFile('C:\WINDOWS.0\system32\26.exe');
     DeleteFile('C:\WINDOWS.0\system32\24.exe');
     DeleteFile('C:\WINDOWS.0\system32\23.exe');
     DeleteFile('C:\WINDOWS.0\system32\21.exe');
     DeleteFile('C:\WINDOWS.0\system32\13.exe');
     DeleteFile('C:\WINDOWS.0\system32\11.exe');
     DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F3601B\Application Data\ltzqai.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\04412.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DLTHL Enable');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    6
    Вес репутации
    25
    Проблема не решилась после выполнения скрипта, чрез пару дней вылез
    syscr.exe

    в RECYCLER и после удаления снова выскакивает.
    Вложения Вложения
    • Тип файла: log GMER.log (31.3 Кб, 3 просмотров)
    Последний раз редактировалось olejah; 29.11.2010 в 16:36. Причина: Карантин в теме неуместен

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Про quarantine.zip внимательно читаем.

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    - Сохраните текст ниже как 1.bat в ту же папку, где находится sfeqwp0b.exe(GMER) и запустите этот батник(1.bat):

    Код:
    sfeqwp0b.exe -del service xtwhs
    sfeqwp0b.exe -del file "C:\WINDOWS.0\system32\tptcz.dll"
    sfeqwp0b.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xtwhs"
    sfeqwp0b.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xtwhs"
    sfeqwp0b.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторные логи АВЗ
    - Сделайте новый лог Gmer

  • Уважаемый(ая) leonidos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. cfdrive32.exe
      От REKOP в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.12.2010, 22:11
    2. cfdrive32
      От aavrs в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.11.2010, 00:07
    3. msvmiode и cfdrive32
      От Лера в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 24.09.2010, 06:43
    4. CFDRIVE32 и что-то еще...
      От regg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.09.2010, 16:19
    5. Msvmiode.exe и Cfdrive32.exe
      От Vegas13 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.08.2010, 00:45

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00206 seconds with 20 queries