Здравствуйте, при загрузке компьютера появляются данные процессы, при этом пропадает интернет. Даже переустановка винды не помогола. Выкладываю логи AVZ и hijackthis. Заранее спасибо.
Printable View
Здравствуйте, при загрузке компьютера появляются данные процессы, при этом пропадает интернет. Даже переустановка винды не помогола. Выкладываю логи AVZ и hijackthis. Заранее спасибо.
1.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syscache.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\Денис\Application Data\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3145208451-1398616148-880457050-6125\syscr.exe,explorer.exe,C:\Documents and Settings\Денис\Application Data\ltzqai.exe','');
QuarantineFile('c:\windows\system32\syscache.exe','');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\syscache.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3145208451-1398616148-880457050-6125\syscr.exe,explorer.exe,C:\Documents and Settings\Денис\Application Data\ltzqai.exe');
DeleteFile('C:\Documents and Settings\Денис\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\syscache.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4219');
ClearHostsFile;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
2.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis, что останется
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Run: [4219] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
[/CODE]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([B]virusinfo_syscheck.zip[/B]; [B]hijackthis.log[/B])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][B]MBAM[/B][/URL]
Все сделал, больше эти процессы не появлялись
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные файлы:
D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004836.exe (Malware.Packer) -> No action taken.
D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004838.exe (Malware.Packer) -> No action taken.
D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004839.exe (Malware.Packer) -> No action taken.
D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004843.exe (Malware.Packer) -> No action taken.
D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004844.exe (Malware.Packer) -> No action taken.
D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004845.exe (Malware.Packer) -> No action taken.
D:\System Volume Information\_restore{54C2F054-792C-4DA2-8E1B-53BECC810448}\RP21\A0006615.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{E92743FD-770D-48E4-A15F-686C293B6864}\RP13\A0006543.dll (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{E92743FD-770D-48E4-A15F-686C293B6864}\RP13\A0006697.dll (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([B]virusinfo_syscheck.zip[/B]; [B]hijackthis.log[/B])
после последних действий и перезагрузки процессы снова появились
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][B]Combofix[/B][/URL]
Готово
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\syscache.exe
Driver::
NetSvc::
Folder::
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
вот
- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
- Сделайте повторный лог [COLOR="Blue"] hijackthis.log[/COLOR]
cделал
чисто.
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
После установки SP3 снова появились эти процессы syscache.exe, cfdrive32.exe,msvmiode.exe
обновления все поставили?
[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]
делайте комплект логов
все сделал
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Денис\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3145208451-1398616148-880457050-6125\syscr.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\syscache.exe');
RegKeyParamDel( 'HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', Shell');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
выполнить скрипт не получается, пишет "Ошибка: ')' expected в позиции 9:100
выполняйте этот
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Денис\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3145208451-1398616148-880457050-6125\syscr.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\syscache.exe');
RegKeyParamDel( 'HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]
сделал
1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
ExecuteRepair(11);
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
сделал
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\денис\\application data\\ltzqai.exe - [B]P2P-Worm.Win32.Palevo.biam[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.5143981, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Palevo-CS [Wrm] )[*] c:\\windows\\cfdrive32.exe - [B]Net-Worm.Win32.Kolab.kqy[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.28441, NOD32: IRC/SdBot trojan, AVAST4: Win32:Flot-U [Wrm] )[*] c:\\windows\\system32\\msvmiode.exe - [B]Trojan.Win32.Agent.ezlo[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4657712, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\syscache.exe - [B]Trojan.Win32.Scar.cqhw[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.28441, NOD32: Win32/VB.PFT trojan, AVAST4: Win32:Flot-U [Wrm] )[/LIST][/LIST]