cure it ничего не находит, при старте винды (xp) куча процессов syscache.exe, плюс ещё подозрительные процессы, ну и ещё куча симптомов, я думаю из логов все станет ясно.
...я надеюсь на это.
cure it ничего не находит, при старте винды (xp) куча процессов syscache.exe, плюс ещё подозрительные процессы, ну и ещё куча симптомов, я думаю из логов все станет ясно.
...я надеюсь на это.
-Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\syscache.exe',''); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); QuarantineFile('C:\WINDOWS\cfdrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-8428837126-6900611604-026273402-6403\syscr.exe',''); QuarantineFile('J:\autorun.inf',''); QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\93215.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\4278460.exe',''); DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\4278460.exe'); DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\93215.exe'); DeleteFile('J:\autorun.inf'); DeleteFile('C:\WINDOWS\cfdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); DeleteFile('C:\WINDOWS\system32\syscache.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','91027'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','222'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8043458'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1915'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6542566'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','563513'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','48572'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1813843'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','774'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','453584'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1395291'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','0568'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4307'); QuarantineFile('C:\RECYCLER\S-1-5-21-8443612752-2449545126-738226147-6439\syscr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-4738227956-1290998238-666705187-3548\syscr.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-8443612752-2449545126-738226147-6439\syscr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-4738227956-1290998238-666705187-3548\syscr.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-8428837126-6900611604-026273402-6403\syscr.exe'); DeleteFileMask('C:\RECYCLER\S-1-5-21-8443612752-2449545126-738226147-6439', '*.*', true); DeleteDirectory('C:\RECYCLER\S-1-5-21-8443612752-2449545126-738226147-6439'); DeleteFileMask('C:\RECYCLER\S-1-5-21-4738227956-1290998238-666705187-3548', '*.*', true); DeleteDirectory('C:\RECYCLER\S-1-5-21-4738227956-1290998238-666705187-3548'); DeleteFileMask('C:\RECYCLER\S-1-5-21-8428837126-6900611604-026273402-6403', '*.*', true); DeleteDirectory('C:\RECYCLER\S-1-5-21-8428837126-6900611604-026273402-6403'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); QuarantineFile(' C:\Program Files\Prevx\prevx.exe',''); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Профиксите в HijackThis, что останется из этого
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)Код:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing) O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing) O4 - HKLM\..\Run: [91027] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\DOCUME~1\9335~1\LOCALS~1\Temp\3097764.exe O4 - HKLM\..\Run: [222] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [8043458] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [1915] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [6542566] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [563513] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe O4 - HKLM\..\Run: [48572] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [1813843] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [5356807] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [774] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [453584] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [1395291] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [0568] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [4307] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Run: [8770] C:\WINDOWS\system32\syscache.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe O9 - Extra button: (no name) - DctMapping - (no file)
- Сделайте лог MBAM
значит так, сперва лечение частично помогло, сделал логи, кроме MBAM, ибо ставлю сканиться, долго сканирует, чё то находит, потом все подвисает чутка и синий экран.
я пару дней пробовал, потом забросил это дело, и между тем опять вот ща ошибка svchost.exe вылезла, глянул в процессы - опять syscache висят два, глянул в папку RECYCLER - там тоже че то насоздавалось, хотя после выполнения скриптов какое то время все было нормально.
Пофиксить в Hijack некоторые строки неудалось, т.к. не нашёл их.
присылаю вам те логи, которые сделал сразу после проверки, следующим сообщением пришлю свежие.
удалил cure ut'ом syscache.exe и cfdrive32.exe.
а ща опять смотрю они висят
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\Installer\{B0B46A1F-EC96-44A4-A9FB-62FE33BAF7DE}\_E5B757FF894DB7599014FE.exe',''); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); QuarantineFile('C:\Program Files\Netdrive\ndfs.sys',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe'); DeleteFile('C:\WINDOWS\system32\27.exe'); DeleteFile('C:\WINDOWS\system32\16.exe'); DeleteFile('C:\WINDOWS\system32\15.exe'); DeleteFile('C:\WINDOWS\system32\00.exe'); DeleteFile('C:\WINDOWS\system32\12.exe'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); DeleteFile('c:\windows\system32\msvmiode.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0469070880-0564948555-849771714-8489\syscr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
- сделайте лог Combofix
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\ltzqai.exe - Trojan.Win32.Agent2.loa ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.5248473, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\42 78460.exe - Net-Worm.Win32.Kolab.kiu ( DrWEB: Trojan.AVKill.2168, BitDefender: Trojan.Dropper.TOY, NOD32: IRC/SdBot trojan, AVAST4: Win32:Flot-Q [Wrm] )
- c:\\documents and settings\\администратор\\doctorweb\\quarantine\\93 215.exe - Net-Worm.Win32.Kolab.kiu ( DrWEB: Trojan.AVKill.2168, BitDefender: Trojan.Dropper.TOY, NOD32: IRC/SdBot trojan, AVAST4: Win32:Flot-Q [Wrm] )
- c:\\windows\\cfdrive32.exe - Email-Worm.Win32.Joleee.fee ( DrWEB: Trojan.AVKill.2218, BitDefender: Trojan.Agent.AQND, NOD32: IRC/SdBot trojan, AVAST4: Win32:Flot-U [Wrm] )
- c:\\windows\\system32\\msvmiode.exe - Trojan.Win32.Scar.cpyb ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4655847, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Flot-U [Wrm] )
- c:\\windows\\system32\\syscache.exe - Email-Worm.Win32.Joleee.fee ( DrWEB: Trojan.MulDrop1.42701, BitDefender: Trojan.Agent.AQND, NOD32: Win32/VB.PFT trojan, AVAST4: Win32:Flot-U [Wrm] )
- j:\\autorun.inf - Worm.Win32.AutoRun.hhv ( BitDefender: Trojan.Script.472894, AVAST4: INF:AutoRun-BK [Wrm] )
Уважаемый(ая) nkrdbl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.