-
Junior Member
- Вес репутации
- 50
syscache.exe, cfdrive32.exe,msvmiode.exe
Добрый день. Поймал вирусы и теперь при загрузке системы появляются данные процессы, причем syscache.exe может появиться в нескольких экземплярах. При этом блокируется интернет. CureIT не запускается ни в безопасном режиме, ни в обычном. Выкладываю логи AVZ и hijackthis. Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syscache.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS\VM303_STI.EXE','');
QuarantineFile('C:\Documents and Settings\administrator\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\administrator\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\syscache.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','783');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','648');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4378');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6375751');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','0593');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','18097');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 50
Скрипт выполнил. Скидываю логи. Карантин выслал.
-
-
-
Junior Member
- Вес репутации
- 50
Процессы больше не появляются, но сейчас заметил еще smss.exe. Интернет нет возможности проверить, проблемы у провайдера на линии.
-
Сообщение от
BalenS
заметил еще smss.exe
Если один, то нормально. Есть такой системный процесс.
-
-
Junior Member
- Вес репутации
- 50
Спасибо большое, все работает.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\administrator\\application data\\ltzqai.exe - Trojan.Win32.Agent2.cves ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Agent.AQMN, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
-