>> c:\DOCUME~\8606~\LOCALS~\Temp\2414390.exe

Вот это и есть искомое, судя по всему.

1) Убить процесс
2) параметры из реестра долой , а можно и в msconfig их поотключать
3) убить файл zuysteo.exe
4) убить файлы 2414390.exe

1. Желательно всё это делать в safe-mode (F8 при загрузке windows).
2. Посмотрите ещё наличие файлов вида 2414390.ехе в c:\windows\system32, c:\windows

>> под названием "что делать с неизвестным процессом"

Статья в вики планируется. Единственное, что сдерживает от её написания - наличие собственно Марка Руссиновича и его утилит :-) :-) :-)

Нашел такой файл в темпорари папке. Имеет расширение ехе но в волкове командере в просмотре показывает что то очень интересное. Похоже эта программа фиксирует хождения в интернете и передает куда то. Мой файерволл блокировал какое то не понятное настойчивое соединение. Может посмотрите и объясните, что в этом файле записано. Извините, что вторгся в Ваш разговор, но я тоже хочу выяснить что это такое

Битый аттач? "Неожиданный конец архива"

"" Битый аттач? "Неожиданный конец архива" ""
Если я правильно понял, что файл порченный, то шлю еще раз.
Там какой то код прописан и примерно в той последовательности, в которой я ходил по интернету: искал на яндексе, потом попал на ваш форум. Адрес форума тоже есть в коде. Что бы случайно его никто не включил, я повславлял между буквами дефисы ( _ ) вот такие

Вот еще в зип архиве для страховки :)

Не, чего-то и эти такие же - "Неожиданный конец архива" :-/

У меня архив тестируется и говорит, что ошибок нет. Пробую по другому: приписол расширение "txt" в ручную, иначе не присоедняется. Если так не прочитается, то я не знаю как по другому. Может по эл. почте отправить?

Пробую по другому: приписол ( читать приписал )расширение "txt" в ручную, иначе не присоедняется. Если так не прочитается, то я не знаю как по другому. Может по эл. почте отправить?

hasherfrog, Ruvlad
Это HTML страница запроса Яндекса по слову "zuysteo.exe.
Её фрагмент, так как прикреплять файлы не получается:

... zuysteo.exe
Компьютерный форум OSzone.net " Microsoft Windows " Microsoft Windows XP " zuysteo.exe
Там не прописана эта zuysteo.exe?

forum.oszone.net/showthread.php?p=498567 (57 КБ) · 6 часов назад
Найденные слова · Еще с сайта (14) · Рубрика: Операционные системы
«zuysteo.exe»

в других поисковых системах: Google · MSN · Yahoo! · Rambler · Апорт! · Поиск в каталоге ...
Почему имеет такое расширени - это я не знаю.

P.S.
У меня архивы распаковываются нормально.

Я не разбираюсь в програмировании и не очень понимаю в терминологии :) , но меня насторожил тот факт, что в темпорари папке находится исполняемый "ЕХЕ" файл. Я попробовал в яндексе повторить все шаги, что делал до этого, но в темпорари ЕХЕ больше не появлялось. Правда перед этим я удалил zuysteo.exe и 2414390.exe (какие были цыфры в этом ЕХЕ файле точно не помню)

orion7?, спасибо за ответ! Я попробвал - действительно, страница поиска.

Так поймал и я такое, я не специалист но у меня сложилось впечатление, что прога использует мой почтовый аккаунт для рассылки спама. Хотя возможно это была попытка отправки логов с непонятно чем.
Обнаружил при выбросе нортоном сообщения об осмотре исходящей почты, при этом почтовый клиент (The Bat!) был выключен.

Действия предпринял описаные тут - (удалил, реестр почистил), спасибо за ветку.

Дальше нада смотреть думаю не так просто все. файлика наподобии 2414390.exe - не обнаружил.

Вопрос к тем у кого эта штучка была: нет ли у вас на компах сетевых онлайн игр?

Symantec AntiVirus 10.0.2.2000 определяет файлы "zuysteo.exe" и другие с набором цифр (у меня "339257.exe" и "290788.exe") как троянских коней. Кому надо - удаляет их быстро и без последствий.
У меня этот троян подгружал процессор (P4-M 2.0GHz) в среднем на 50%!
Всем успехов!

Petruk
Дык на кой такой антивирус, который сначала на комп вирусы пускает, а уж только потом констатирует наличие заразы???

Здравствуйте, уважаемые специалисты в области компьтерных технологий!

Пишет вам скромная девушка Вика, у которой сегодня появилась ОГРОМНАЯ проблема, непосредственно связанная с темой сего форума...

Сегодня с утра, на рабочем компе постоянно начало всплывать странное сообщение (скрин прикрепила).

Прочитала всю тему, но в силу природного компьютерного скудоумия так и не поняла, что это за х......?, чем ЭТО черевато?, КАК это удалить самостоятельно?, ибо проблема в том, что комп-то рабочий.... а признаться администратору в своей ошибке - страшно! Да и штрафануть так нормально могут....

Пожалуйста, помогите!!!

Kira_Viktorovna
Сообщение это вашего антивируса, говорит о том, что он не может справиться с заразой, просто ввиду того, что файлы вируса заняты, они есть активными процессами.
ну вот... еще раз напишу что делать:
1) Убить процесс - в диспетчере задач найлите процессы с именами zuysteo.exe и 2414390.exe (цифры могут быть другими)
2) параметры из реестра долой , а можно и в msconfig их поотключать - Пуск - Выполнить - regedit - поиск по значениям параметров по слову zuysteo и удаление найденных значений (предварительно обязательно делать резервные копии тех веток в которых будете удалять: Файл - Экспорт файла реестра)
3) убить файл zuysteo.exe - удалить файл
4) убить файлы 2414390.exe - удалить файл

Все это желательно делать в безопасном режиме - при загрузке компьютера жмете F8 и выбираете Безопасный режим.

Доп. информация о трояне ZUYSTEO

Его файлы находились у меня (также с 16 октября)

в катологах
C:\WINDOWS\system32\zuysteo.exe
C:\WINDOWS\Prefetch\ZUYSTEO.EXE-386D8A4F.pf

В регистре (!)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
(Спасибо hasherfrog)

Троян сканировал All local network adapters [Norton defenition]
b обнаружил его Нортон файрвол.

Троян пытался переслать (успел?) скан.инфо по адресу:
addr.datapoint.ru
ip
85.249.134.37
и
85.249.139.67

Справка Whois о datapoint.ru (хостер)

domain: DATAPOINT.RU
type: CORPORATE
nserver: ns1.infobox.org.
nserver: ns2.infobox.org.
state: REGISTERED, DELEGATED
person: Alexey V Bakhtiarov
phone: +7 812 3123620
fax-no: +7 812 3123620
e-mail: manager@infobox.ru
registrar: R01-REG-RIPN
created: 2005.04.27
paid-till: 2007.04.27
source: TC-RIPN


Сначала заблокировал троян Нортон файрволом.

Norton Logs

This one time, the user has chosen to "block" communications
Outbound TCP connection
Remote address,service is (85.249.139.67,http(80))
Process name is "C:\WINDOWS\System32\zuysteo.exe"

The user has created a rule to "block" communications
Outbound TCP connection
Remote address,service is (85.249.139.67,http(80))
Process name is "C:\WINDOWS\System32\zuysteo.exe"

Затем вручную затёр ZUYSTEO отовсюду