Как избавиться от вирусов syscr.exe, ltzqai.exe

Printable View

Показывать 40 сообщений этой темы на одной странице

25.09.2010, 11:41
ПЭДРО

Как избавиться от вирусов syscr.exe, ltzqai.exe

Помощь по избавлению от вирусов

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Помогите избавиться от вирусов этой марки((( Что нужно сделать???
25.09.2010, 11:42
olejah

Выполнить [URL="http://virusinfo.info/pravila.html"]правила.[/URL]
25.09.2010, 12:28
ПЭДРО

вот))
25.09.2010, 12:35
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\RECYCLER\S-1-5-21-9197563262-5610388892-731535068-6587\syscr.exe');
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('C:\Program Files\Opera\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\23.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('C:\WINDOWS\system32\02.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\Program Files\Opera\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи

- Установлен ли браузе firefox?
25.09.2010, 13:13
ПЭДРО

firefox не установлен
25.09.2010, 13:39
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]полного сканирования МВАМ[/URL]
25.09.2010, 14:13
ПЭДРО

Вот
25.09.2010, 14:30
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные файлы:
C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syscron.exe (Spyware.Passwords.XGen) -> No action taken.[/CODE]

- Повторите лог
30.09.2010, 18:16
ПЭДРО

Помогите пожалуйста((((

ОПять беда с чем это связанно? где я их хватаю?((( ни минуты покоя...
30.09.2010, 18:22
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\23.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

[B]cfdrive32.exe[/B] - вот этот есть в процессах?
30.09.2010, 18:31
ПЭДРО

не а нету
30.09.2010, 18:32
olejah

Повторите лог МВАМ
30.09.2010, 18:44
ПЭДРО

инфицированных объектов не обнаружено
30.09.2010, 18:46
olejah

А присутствие есть?
30.09.2010, 19:04
ПЭДРО

Вроди как нету, в общем вот...
30.09.2010, 19:09
olejah

Наблюдайте и ещё раз наблюдайте, при рецидиве - поднимайте тему.
30.09.2010, 19:15
ПЭДРО

Хорошо буду следить Спасибо вам большое, незнаю чтоб без вас делал:)
06.10.2010, 19:09
ПЭДРО

хэлп((
06.10.2010, 19:32
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('fgymtoar.sys','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\digest.dll','');
QuarantineFile('C:\WINDOWS\xomfs.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\cuosc.exe','');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\cuosc.exe');
DeleteFile('C:\WINDOWS\xomfs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Driversys32');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Driversys32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Driversys32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driversys32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driversys32');
DeleteFile('C:\WINDOWS\system32\digest.dll');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\tyfka.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGAResolution');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msnmsg');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msnmsg');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGAResolution');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsg');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsg');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsg');;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Скачайте [URL="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([B]RSIT[/B]) в корне системного диска.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
06.10.2010, 20:29
ПЭДРО

вот
06.10.2010, 20:37
ПЭДРО

вот так правильней
06.10.2010, 20:41
olejah

- Замените файл c:\windows\system32\midimap.dll на чистый из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].

- Восстановите файлы c:\windows\System32\wscntfy.exe c:\windows\System32\sfcfiles.dll

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.

[CODE]KillAll::

File::
c:\windows\system32\perfc019.dat
c:\windows\system32\perfh019.dat
c:\program files\Common Files\jqyrg4inedzz13m

Driver::

NetSvc::

Folder::
c:\program files\Common Files\b880fa1a
c:\program files\Common Files\b880f801

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [B]CFScript.txt[/B] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
07.10.2010, 17:33
ПЭДРО

8)
07.10.2010, 17:35
olejah

Как сейчас?
07.10.2010, 17:44
ПЭДРО

проблем с Explorer нету но теперь почему то не запускается DAEMON Tools Lite

Пишет
- Для данного приложения необходима, как минимум, windows 2000 и SPTD1.60 или выше.
Отладчик ядра должен быть деактивирован.

Но я то знаю что у Меня XP стоит:?
07.10.2010, 17:47
olejah

Это последствия работы КомбоФикс, так сказать цена, которую ему нужно было заплатить за исцеление:) Можно просто переустановить DAEMON Tools.
07.10.2010, 17:49
ПЭДРО

Хорошо так и сделаю))) лиж бы он еще что нибудь не забрал))) В очередной раз спасибо за помощь)))
13.10.2010, 22:12
ПЭДРО

Хэлп
13.10.2010, 22:13
Никита Соловьев

[QUOTE='ПЭДРО;720060']Хэлп[/QUOTE]Что стряслось?
13.10.2010, 22:24
ПЭДРО

блин инет тупанул(((( Вот Hijack не открывается AVZ и сайт ваш тоже(((
13.10.2010, 22:28
Никита Соловьев

Сделайте лог [URL=http://virusinfo.info/showthread.php?t=58309]ComboFix[/URL]
13.10.2010, 22:49
ПЭДРО

вот))
13.10.2010, 22:52
Никита Соловьев

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]
KillAll::

File::
c:\windows\system32\okpnak.exe

Folder::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

и новые логи AVZ...
13.10.2010, 23:10
ПЭДРО

Вложений: 2

вот они)))
13.10.2010, 23:16
Никита Соловьев

Что с проблемой?
13.10.2010, 23:19
ПЭДРО

вроде как исчезла проблема, но мне интересно с windows все в порядке?? я его не покоробил пока с вирусом сражался????;)
13.10.2010, 23:19
Никита Соловьев

[QUOTE='ПЭДРО;720089']но мне интересно с windows все в порядке[/QUOTE]По логам всё ОК.

[url=http://virusinfo.info/showpost.php?p=500136&postcount=2]Удалите[/url] ComboFix
13.10.2010, 23:20
ПЭДРО

а есть какой нибудь способ что бы предотвратить в дальнейшем проникновение этого вируса на компьютер???
13.10.2010, 23:23
Никита Соловьев

[QUOTE='ПЭДРО;720091']а есть какой нибудь способ что бы предотвратить в дальнейшем проникновение этого вируса на компьютер??? [/QUOTE]Не открывайте что попало
15.10.2010, 20:09
ПЭДРО

...

Показывать 40 сообщений этой темы на одной странице