-
Junior Member
- Вес репутации
- 51
SOS wndrive32 и msvmiode.exe
Вложение 246895
Вложение 246896
Вложение 246897
Добрый вечер,
у меня серьезная проблема (на мой взгляд)
проподают драйвера звука,меняются цвета панели,пропал и-эксплорер(обнаружил это когда следовал вашему приготовлению к посту) ,рубит инет (эти два гада заблокировали мне исходящий конект в нет-лимитере,я это обнаружил и вернул на место) вообщем я в отчаяние.Помогите пожалуста.
1.не дал поднять сэйф моуд ( сканировал cureit в обычном режиме)
2.хайджек не было на их сайте зипа (только инсталка и ехе файл) я сразу взял ваш переименованный и сделал лог через него.
Заранее огромное спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\wndrive32.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\wndrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0329752669-1549805066-353582236-2689\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0329752669-1549805066-353582236-2689\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
QuarantineFile('C:\RECYCLER\S-1-5-21-0952581812-2327912731-849726858-6514\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0952581812-2327912731-849726858-6514\syscr.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\wndrive32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteFile('C:\WINDOWS\wndrive32.exe');
BC_DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
вопрос перед этим всем.
Выполнять эти действия с:
Выключеным инетом
Выключеном нет лимитером
Выключеным антивирусом (хотя я его уже даже не вижу в трее)
и может еще надо что то отключить или включить?
Спасибо и извиняюсь за вопросы.
-
-
-
Junior Member
- Вес репутации
- 51
Вложение 246932
Вложение 246935
Сделал как Вы мне сказали.
После запуска первого скрипта(в конце процесса) нортон выдал наверху ошибку с найденым каким то гадом,потух экран,остался только курсор от мышки.всё произошло буквально за секунду,поэтому не смог увидить кого нашел нортон.
Перезагрузился кнопкой reset
-
Junior Member
- Вес репутации
- 51
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\NetLimiter 2 Pro\nlsvc.exe','');
DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
TerminateProcessByName('c:\windows\wndrive32.exe');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6648904212-1886490530-374302022-2714\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\wndrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_DeleteFile('C:\WINDOWS\wndrive32.exe');
DeleteFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
Сделал все.История с нортоном повторилась, ругнулся,выдал что то.комп выдал сообщение о перезагрузки,экран потух остался курсор мышки.перезагрузился рисэтом
Вложение 247072
Вложение 247073
Вложение 247074
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Michael\Local Settings\Temp\576.exe','');
QuarantineFile('C:\Documents and Settings\Michael\Local Settings\Temp\556.exe ','');
QuarantineFile('C:\Documents and Settings\Michael\Local Settings\Temp\002.exe','');
QuarantineFile('C:\WINDOWS\system32\termsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\87.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe ','');
QuarantineFile('C:\WINDOWS\system32\41.exe','');
QuarantineFile('C:\WINDOWS\system32\40.exe','');
QuarantineFile('C:\WINDOWS\system32\32.exe ','');
QuarantineFile('C:\WINDOWS\system32\30.exe','');
QuarantineFile('C:\WINDOWS\system32\28.exe ','');
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\WINDOWS\system32\25.exe','');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\WINDOWS\system32\02.exe ','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y7CFYDAH\663x[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WRAHOXCL\6333[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S9YNA9KJ\663x[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0LMP8ZUT\663x[1].exe ','');
QuarantineFile('C:\Documents and Settings\Michael\Local Settings\Temporary Internet Files\Content.IE5\WXYVGX6Z\663x[1].exe','');
DeleteFile('C:\Documents and Settings\Michael\Local Settings\Temporary Internet Files\Content.IE5\WXYVGX6Z\663x[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0LMP8ZUT\663x[1].exe ');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S9YNA9KJ\663x[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WRAHOXCL\6333[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y7CFYDAH\663x[1].exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1880850432-8530585477-090210599-4062\syscr.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\02.exe ');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\28.exe ');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\32.exe ');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\60.exe ');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\wndrive32.exe');
DeleteFile('C:\Documents and Settings\Michael\Local Settings\Temp\002.exe');
DeleteFile('C:\Documents and Settings\Michael\Local Settings\Temp\556.exe ');
DeleteFile('C:\Documents and Settings\Michael\Local Settings\Temp\576.exe');
DeleteFileMask('C:\Documents and Settings\Michael\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Michael\Local Settings\Temp', '*.exe', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- сделайте лог Combofix
-
-
Junior Member
- Вес репутации
- 51
вроде все прошло нормально... надеюсь
Вложение 247114
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\deployJava1.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Добавлено через 42 секунды
- Сделайте лог MBAM
Последний раз редактировалось polword; 17.06.2010 в 18:17.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
пропала языковая панель... и этих досих пор вижу в процессах.ограничел им доступ в нэтлимитере
-
Junior Member
- Вес репутации
- 51
-
- удалите в MBAM
Код:
Зараженные процессы в памяти:
C:\WINDOWS\system32\msvmiode.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\wndrive32.exe (Malware.Packer.Gen) -> No action taken.
Зараженные модули в памяти:
c:\WINDOWS\system32\termsrv.dll (Trojan.Downloader) -> No action taken.
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termservice (Trojan.Downloader) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\msvmiode.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\wndrive32.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Michael\Local Settings\temp\195.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Michael\Local Settings\temp\239.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Michael\Local Settings\temp\797.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Michael\Local Settings\Temporary Internet Files\Content.IE5\K9IV4DMV\calcz[1].data (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Michael\Local Settings\Temporary Internet Files\Content.IE5\OPY785EJ\msall[1].new (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QBA9O705\663x[1].exe (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\08.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\27.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\66.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\78.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\msvmiode.exe.vir (Malware.Packer.Gen) -> No action taken.
C:\RECYCLER\S-1-5-21-4994149996-5007373759-241993786-4204\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\System Volume Information\_restore{4426B1F7-F36D-4E29-87FF-CC4D6B8EA2C2}\RP1\A0000027.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4426B1F7-F36D-4E29-87FF-CC4D6B8EA2C2}\RP1\A0000028.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4426B1F7-F36D-4E29-87FF-CC4D6B8EA2C2}\RP1\A0000029.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4426B1F7-F36D-4E29-87FF-CC4D6B8EA2C2}\RP1\A0000030.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4426B1F7-F36D-4E29-87FF-CC4D6B8EA2C2}\RP1\A0000031.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{4426B1F7-F36D-4E29-87FF-CC4D6B8EA2C2}\RP1\A0000032.exe (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\43.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\81.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\86.exe (Trojan.Agent) -> No action taken.
повторите лог MBAM
-
-
Junior Member
- Вес репутации
- 51
удалил,после чего немного подождал и сделал лог.
Оба вредителя появились в процесах опять
Вложение 247241
-
Удалите ComboFix
обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.
после обновления делайте новый комплект логов
-
-
Junior Member
- Вес репутации
- 51
не чего себе я попал.....
Добавлено через 41 минуту
установил пак, нортон выдаёт вот такой алерт
Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: W32.Spybot.Worm
File: C:\WINDOWS\system\VMwareService.exe
Location: C:\WINDOWS\system
Computer: PENTIUMD
User: SYSTEM
Action taken: Clean failed : Quarantine failed : Delete succeeded : Access denied
Date found: 18 èþíÿ 2010 ã. 6:44:47
Последний раз редактировалось vinylkiller; 18.06.2010 в 07:49.
Причина: Добавлено
-
Пришлите файл C:\WINDOWS\system\VMwareService.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 51
файла нету.
не в указаной папке,не через ctrl-f
в фолдер опшенс переставил чтоб отображались скрытые файлы тоже,и все равно нету
-
обновитесь полностью и делайте логи
-