zuysteo.exe
 

Кто-нибудь знает что за процесс zuysteo.exe?

возьми пргограмму ProcessExplorerNt и посмотри подробности о процессе

Дело в том. что пытался искать через поисковики и ниодин ничего не нашёл. Я ваще сегодня первый раз этот процесс увидел, раньше его не было.

диман
Скачайте ту программу, про которую написал MadMaks (~1М сегодня). Там вызовите свойства процесса, посмотрите путь к exe-модулю, затем скормите это exe-файл любому on-line антивирусу (http://www.kaspersky.ru/scanforvirus или http://www.drweb.ru/scan/ )

Проделал я сею манипуляцию: касперский - В проверяемом файле вирусов не обнаружено, др веб - не выбраны файлы(?????) Вопросы так и остались?
Да и что означает если в этой проге каторую дал MadMaks процесс отображается в такой тёмнофиолетовой полоске?

>> Да и что означает если в этой проге каторую дал MadMaks процесс отображается в такой тёмнофиолетовой полоске?
Но это необязательно вирус-троян-кейлоггер. Некоторые нормальные программы (drweb, ЕМНИП :]) тоже так обозначаются.

Так путь какой? Откуда это стартовало? из windows/system32 ?

дословно: "Пакетный файл"
не ломай голову, это не имеет значения в данной ситуации.
Лучше покажи,что говорит ProcessExplorerNt о твоём процессе.

> дословно: "Пакетный файл"
??? :-/ это где так пишут?

C:\WINDOWS\system32\zuysteo.exe
Что ещё надо написать?

В проводнике откройте C:\WINDOWS\system32\ и правой кнопкой мышки посмотрите свойства zuysteo.exe
Интересует закладка ""Версия". Там что-нибудь написано? Версия программы, Комментарий, внутреннее имя?

hasherfrog
В настройках, конфигурация цветов ;)

Запустите Пуск->regedit
Посмотрите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Там не прописана эта zuysteo.exe?
Посмотрите в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

В проводнике ничего нет(закладки версия). А в ProcessExplorerNt вервсия n/a

Мне нпонятно, я же говрил что в инете нет данных по этому процессу, я первый его обладатель?

Проверьте ещё он-лайн http://onlinescan.avast.com/
http://virusscan.jotti.org/ (эти вечно загружены :])


диман
Имя файла (процесса) во многих троянах/вирусах генерится рандомно.

Я уверен, что это вирус/троян, мне непонятно, почему он не опознаётся.

Собственно что это вирс я не сомневался, но по нему нет никаких данных, он не известен, как я и говорил выше
Если просканить систему NortonAntiVirus поможет? или просто убить этот процесс и удалить экзешник?

>> Если просканить систему NortonAntiVirus поможет?
Ну _Если_ он найдёт этот вирус - то поможет. Но если касперский сказал, что "всё нормально"....

>> или просто убить этот процесс и удалить экзешник?
В реестре всё-таки посмотрите, что там у Вас стартует. 98% троянов лезут туда, жалкие таракашки :]

А что касперский лучше? Помоему Norton (2005) один из лучших, вот только базы у меня не обновлялись с января :o :fie: поэтому врядли он найдёт что нибудь.
В реестр лезть нехочется, я с ним стараюсь не связываться, я вообще там мало что понимаю

попробуй 6-ым касперским создать Аварийный диск, и с него проверься, так больше шансов найти гадость

>> омоему Norton (2005) один из лучших
Давайте не спорить по этому поводу. Я специально Вам дал несколько он-лайн ссылок, где базы обновляются _постоянно_

>> В реестр лезть нехочется
Тогда Вы не сможете быть уверены в том, что при следующем запуске у Вас не будет опять запущен какой-нибудь бла-бла.ехехе.
Не надо лазать по реестру и чего-то там хитрое делать, просто зайдите (в дереве, в окошке слева) в указанную ветку - и всё.


диман, знаете, мы сейчас придём к совету "Проверься свежим антивиросом". Это можно было сказать первым постом в теме :]
Интереснее же найти решение "малой кровью", без многочасовой проверки дисков... :]

Я на всех он-лайн проверил ниодин ничего не нашёл
Вот слазил в реестр посмотрел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - здесь ничего
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - тоже пусто

Плохо. Очень плохо. Пропробуйте скачать http://www.sysinternals.com/Utilities/Autoruns.html
Хоть узнать, кто же это запускает...

Что значит кто запускает, сам себя и запускает

диман
Сам себя никто не запускает. Запуск файла прописан в системе, если его никто не зпускает вручную, а вот для того чтоб выяснить где это прописано вам hasherfrog предлагает утилиту. Файл может быть запущен каким-то другим процессом, который в свою очередь прописан в загрузку.
А что у вас с анитивирусным ПО в системе, что у становлено, насколько свежие сигнатуры, как давно проводили полную проверку системы?
Если свежие базы и проверка проводилась вчера-сегодня и ничего не нашлось, то попробуйте сменить анитвирус - панацеи не бывает.

Про антивирус писал, Norton 2005, но базы не обновлялись с января. Последний раз сканил 19.09.06. Так что вина моя налицо. Но я не понимаю почему нет данных в инете по этому вирусу.
hasherfrogскачал я прогу, посмотрел, но что-то не нашёл там этого трояна, да и что там за autorunsc?

диман да просто потому, что имя исполняемого файла который садится в активные процессы может генерироваться вирусом случайным образом, и здесь никакой инет не поможет вам.
Мой вам совет: установите другой антивирус (от себя рекомендую KAV6) и проверьте систему - возможно отпадет необходимость вручную лечить заразу.

hasherfrog а что именно плохо?

Посмотрел автозагрузку в msconfig, так две какието странные штуки:
2414390 команда: c:\DOCUME~\8606~\LOCALS~\Temp\2414390.exe расположение: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и
2414390 команда: c:\DOCUME~\8606~\LOCALS~\Temp\2414390.exe расположение: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
но я уже смотрел в реестре там нет.

диман
Вы можете бесконечно находить какие-то новые файлы, записи в реестре, еще что нибудь, а ведь решение довольно просто: установить антивирус - обновить базы - полечить систему

Blastможет это и кажется глупо, но хочется всё проделать руками.

диман
Не кажется, я этим переболел в свое время...
Посмотрите еще в службах, нет ли там лишних
покажите свой msconfig здесь (хоть скриншотом)
Покажите содержимое ранов, как в HKLM так и в HCU
Произведите поиск по реестру по имени вашего файла
Произведите поиск по реестру по именам файлов из msconfig
Проверьте в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell в частности

Ну и с учетом того, что тема выходит за рамки ОС Windows и переходит в плоскость Информационной безопасности, переношу в соответствующий раздел.

Blast спасибо за понимание

Снимок msconfig: снимок


Снимки реестра: http://dim2204.narod.ru/2.JPG
http://dim2204.narod.ru/3.JPG
http://dim2204.narod.ru/4.JPG
http://dim2204.narod.ru/5.JPG
http://dim2204.narod.ru/6.JPG
http://dim2204.narod.ru/7.JPG

диман
C народа картинки не грузятся, перейдите в расширенную форму ответа (предосмотр) - там есть возможность прикрепить файлы к сообщению

Так, ну в HKCU у вас прописан параметр port windows - это зверь

в HKLM тоже, а вы говорили нету ;)

Так просмотреть снимки удалось? У меня кстати прекрасно снимки грузятся.
Ну а то что проблема в port windows я не знал, как уже говорил выше в реестр не залезаю и какие там должны быть праметры незнаю. Вобщем подвела меня и невнимательность, незаметил. Так что следует дальше сделать, удалить этот параметр, убить процесс и потом удалить файл zuysteo.exe ?

диман вам будет в таком случае очень непросто вручную избавляться от нечисти.
Правильно:
1) Убить процесс
2) параметры из реестра долой , а можно и в msconfig их поотключать - так вам проще будет и больше шансов, что лишнего не удалите
3) убить файл zuysteo.exe
4) убить файлы 2414390.exe
5) да вобще удалить все из %userprofile%\local settings\Temp всех юзеров, а не только своего

Вопрос на засыпку антивирус проделывает такие же действия:
1) Убить процесс
2) параметры из реестра долой , а можно и в msconfig их поотключать
3) убить файл zuysteo.exe
4) убить файлы 2414390.exe
Да, и если я просто отключу в msconfig а затем почищу реестр какой-нибудь прогой, удалятся эти параметры?

диман
Если говорить о KAV 6, то да
он проверит критические области системного реестра если включить опцию мониторинга реестра в настройках
проверит диск и найдет нечисть
если не сможет удаоить файл вируса по причине его активности в системе, то удалит его при перезагрузке

Если я просто отключу в msconfig а затем почищу реестр какой-нибудь прогой, удалятся эти параметры?

я бы на вашем месте не стал использовать такие проги, возможно я предвзято к ним отношусь, но часто они не столько помогают сколько вредят.
Попробуйте проделать последовательно то что я писал выше, после этого посмотрим, останутся ли следы
Но все же для того чтоб разобраться что к чему вам не обязательно подвергать риску свои данные и систему борясь с уже присутствующими вирусами, гораздо проще установить антивирусную программу, почистить систему, а потом сесть и изучить отчеты этой программы в которые будут записаны все ее действия над файлами, таким образом вы увидите куда пишется гадость и будете знать то что хотите узнать сейчас.

Blast спасибо большое за помощь.
Тему закройте, или прикрепите для новичков под названием "что делать с неизвестным процессом" :)

Ятоже вчера где то получил такой файл. Кажеться, он работает в паре с dskop.dll d system32. Я их всех удалил и все.

>> c:\DOCUME~\8606~\LOCALS~\Temp\2414390.exe

Вот это и есть искомое, судя по всему.

1. Желательно всё это делать в safe-mode (F8 при загрузке windows).
2. Посмотрите ещё наличие файлов вида 2414390.ехе в c:\windows\system32, c:\windows

>> под названием "что делать с неизвестным процессом"

Статья в вики планируется. Единственное, что сдерживает от её написания - наличие собственно Марка Руссиновича и его утилит :-) :-) :-)

Нашел такой файл в темпорари папке. Имеет расширение ехе но в волкове командере в просмотре показывает что то очень интересное. Похоже эта программа фиксирует хождения в интернете и передает куда то. Мой файерволл блокировал какое то не понятное настойчивое соединение. Может посмотрите и объясните, что в этом файле записано. Извините, что вторгся в Ваш разговор, но я тоже хочу выяснить что это такое

Битый аттач? "Неожиданный конец архива"

"" Битый аттач? "Неожиданный конец архива" ""
Если я правильно понял, что файл порченный, то шлю еще раз.
Там какой то код прописан и примерно в той последовательности, в которой я ходил по интернету: искал на яндексе, потом попал на ваш форум. Адрес форума тоже есть в коде. Что бы случайно его никто не включил, я повславлял между буквами дефисы ( _ ) вот такие

Вот еще в зип архиве для страховки :)

Не, чего-то и эти такие же - "Неожиданный конец архива" :-/

У меня архив тестируется и говорит, что ошибок нет. Пробую по другому: приписол расширение "txt" в ручную, иначе не присоедняется. Если так не прочитается, то я не знаю как по другому. Может по эл. почте отправить?

Пробую по другому: приписол ( читать приписал )расширение "txt" в ручную, иначе не присоедняется. Если так не прочитается, то я не знаю как по другому. Может по эл. почте отправить?

hasherfrog, Ruvlad
Это HTML страница запроса Яндекса по слову "zuysteo.exe.
Её фрагмент, так как прикреплять файлы не получается:
Почему имеет такое расширени - это я не знаю.

P.S.
У меня архивы распаковываются нормально.

Я не разбираюсь в програмировании и не очень понимаю в терминологии :) , но меня насторожил тот факт, что в темпорари папке находится исполняемый "ЕХЕ" файл. Я попробовал в яндексе повторить все шаги, что делал до этого, но в темпорари ЕХЕ больше не появлялось. Правда перед этим я удалил zuysteo.exe и 2414390.exe (какие были цыфры в этом ЕХЕ файле точно не помню)

orion7?, спасибо за ответ! Я попробвал - действительно, страница поиска.

Так поймал и я такое, я не специалист но у меня сложилось впечатление, что прога использует мой почтовый аккаунт для рассылки спама. Хотя возможно это была попытка отправки логов с непонятно чем.
Обнаружил при выбросе нортоном сообщения об осмотре исходящей почты, при этом почтовый клиент (The Bat!) был выключен.

Действия предпринял описаные тут - (удалил, реестр почистил), спасибо за ветку.

Дальше нада смотреть думаю не так просто все. файлика наподобии 2414390.exe - не обнаружил.

Вопрос к тем у кого эта штучка была: нет ли у вас на компах сетевых онлайн игр?

Symantec AntiVirus 10.0.2.2000 определяет файлы "zuysteo.exe" и другие с набором цифр (у меня "339257.exe" и "290788.exe") как троянских коней. Кому надо - удаляет их быстро и без последствий.
У меня этот троян подгружал процессор (P4-M 2.0GHz) в среднем на 50%!
Всем успехов!

Petruk
Дык на кой такой антивирус, который сначала на комп вирусы пускает, а уж только потом констатирует наличие заразы???

Здравствуйте, уважаемые специалисты в области компьтерных технологий!

Пишет вам скромная девушка Вика, у которой сегодня появилась ОГРОМНАЯ проблема, непосредственно связанная с темой сего форума...

Сегодня с утра, на рабочем компе постоянно начало всплывать странное сообщение (скрин прикрепила).

Прочитала всю тему, но в силу природного компьютерного скудоумия так и не поняла, что это за х......?, чем ЭТО черевато?, КАК это удалить самостоятельно?, ибо проблема в том, что комп-то рабочий.... а признаться администратору в своей ошибке - страшно! Да и штрафануть так нормально могут....

Пожалуйста, помогите!!!

Kira_Viktorovna
Сообщение это вашего антивируса, говорит о том, что он не может справиться с заразой, просто ввиду того, что файлы вируса заняты, они есть активными процессами.
ну вот... еще раз напишу что делать:
1) Убить процесс - в диспетчере задач найлите процессы с именами zuysteo.exe и 2414390.exe (цифры могут быть другими)
2) параметры из реестра долой , а можно и в msconfig их поотключать - Пуск - Выполнить - regedit - поиск по значениям параметров по слову zuysteo и удаление найденных значений (предварительно обязательно делать резервные копии тех веток в которых будете удалять: Файл - Экспорт файла реестра)
3) убить файл zuysteo.exe - удалить файл
4) убить файлы 2414390.exe - удалить файл

Все это желательно делать в безопасном режиме - при загрузке компьютера жмете F8 и выбираете Безопасный режим.

Доп. информация о трояне ZUYSTEO

Его файлы находились у меня (также с 16 октября)

в катологах
C:\WINDOWS\system32\zuysteo.exe
C:\WINDOWS\Prefetch\ZUYSTEO.EXE-386D8A4F.pf

В регистре (!)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
(Спасибо hasherfrog)

Троян сканировал All local network adapters [Norton defenition]
b обнаружил его Нортон файрвол.

Троян пытался переслать (успел?) скан.инфо по адресу:
addr.datapoint.ru
ip
85.249.134.37
и
85.249.139.67

Справка Whois о datapoint.ru (хостер)

domain: DATAPOINT.RU
type: CORPORATE
nserver: ns1.infobox.org.
nserver: ns2.infobox.org.
state: REGISTERED, DELEGATED
person: Alexey V Bakhtiarov
phone: +7 812 3123620
fax-no: +7 812 3123620
e-mail: manager@infobox.ru
registrar: R01-REG-RIPN
created: 2005.04.27
paid-till: 2007.04.27
source: TC-RIPN


Сначала заблокировал троян Нортон файрволом.

Norton Logs

This one time, the user has chosen to "block" communications
Outbound TCP connection
Remote address,service is (85.249.139.67,http(80))
Process name is "C:\WINDOWS\System32\zuysteo.exe"

The user has created a rule to "block" communications
Outbound TCP connection
Remote address,service is (85.249.139.67,http(80))
Process name is "C:\WINDOWS\System32\zuysteo.exe"

Затем вручную затёр ZUYSTEO отовсюду