msvmiode.exe

[Alexshow]

Постоянно лезет в автозагрузку msvmiode.exe, При помощи AVZ проделал операцию со скриптом найденным в подобной теме, не помогло, правда почистило папку Prefetch в Виндах, При помощи AnVir - заблокировал процесс c:\windows\system32\msvmiode.exe, хватает на две перезагрузки, затем опять просится в автозагрузку msvmiode.exe.
Все началось после появления на весь экран Г. женщин, переустановил систему ДВАЖДЫ, обновил ХР до 3SP, осталась только эта проблема и еще не понятно почему локальный диск С:, грузиться до 100% регулярно, что вызывает торможение.
ВОПРОС: Что делать.
1. Поможете Вы ?
2 Отформатировать диск С
С Уважением ко всему, что Вы делаете Алексей

[polword]

ВОПРОС: Что делать.

логи по правилам

[Alexshow]

Выполнил

[Alexshow]

Надеюсь, что сделал все правильно, а то я еще тот пользователь ....

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\12.exe','');
 QuarantineFile('C:\WINDOWS\system32\14.exe','');
 QuarantineFile('C:\WINDOWS\system32\36.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\Documents and Settings\Alexshow\Application Data\ltzqai.exe','');
 QuarantineFile('C:\DOCUME~1\Alexshow\LOCALS~1\Temp\ALSysIO.sys','');
 DeleteFile('C:\Documents and Settings\Alexshow\Application Data\ltzqai.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 DeleteFile('C:\WINDOWS\system32\36.exe');
 DeleteFile('C:\WINDOWS\system32\14.exe');
 DeleteFile('C:\WINDOWS\system32\12.exe');
 QuarantineFile('C:\RECYCLER\S-1-5-21-3560374806-8353067108-972808231-5544\syscr.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0541813462-5952256214-741829787-0933\syscr.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1124464348-6319072723-626629149-5993\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-3560374806-8353067108-972808231-5544\syscr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0541813462-5952256214-741829787-0933\syscr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1124464348-6319072723-626629149-5993\syscr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

[Alexshow]

- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут

В подсказке рассказано как отключить восстановление....
Значит я должен так и сделать или наоборот ?
Простите не понял.
С уважением Алексей

[polword]

да, отключить

[Alexshow]

Спасибо за оперативную помощь!

Вообще если это мне (Вам) поможет высылаю картинку ЛОГа вирусов пойманых NODом за сегодня:
http://clip2net.com/page/m0/7047737
Согласно Вашему требованию, по окончании вышеизложенных скриптов высылаю отчеты.

С Уважением ко всему, что Вы делаете Алексей

[Alexshow]

Что делать дальше?
Включить ли восстановление?
С Уважением Алексей

[polword]

- quarantine.zip - удалите из темы

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

вот так его надо прислать

Добавлено через 6 минут

после того как пришлете карантин по правилам - выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 SetAVZPMStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\i[1].exe','');
 QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W34XA32Z\i[1].exe','');
 QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y5WD4VG7\3[1].exe','');
 QuarantineFile('C:\WINDOWS\system32\00.exe','');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\i[1].exe');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W34XA32Z\i[1].exe');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y5WD4VG7\3[1].exe');
 DeleteFile('C:\WINDOWS\system32\00.exe');
 QuarantineFile('C:\WINDOWS\system32\04.exe','');
 QuarantineFile('C:\WINDOWS\system32\06.exe','');
 QuarantineFile('C:\WINDOWS\system32\08.exe','');
 QuarantineFile('C:\WINDOWS\system32\22.exe','');
 DeleteFile('C:\WINDOWS\system32\04.exe');
 DeleteFile('C:\WINDOWS\system32\06.exe');
 DeleteFile('C:\WINDOWS\system32\08.exe');
 DeleteFile('C:\WINDOWS\system32\22.exe');
 QuarantineFile('C:\WINDOWS\system32\32.exe','');
 QuarantineFile('C:\WINDOWS\system32\67.exe','');
 QuarantineFile('C:\WINDOWS\system32\75.exe','');
 QuarantineFile('C:\WINDOWS\system32\85.exe','');
 DeleteFile('C:\WINDOWS\system32\32.exe');
 DeleteFile('C:\WINDOWS\system32\67.exe');
 DeleteFile('C:\WINDOWS\system32\75.exe');
 DeleteFile('C:\WINDOWS\system32\85.exe');
 DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог MBAM

[Alexshow]

Готово! Извините за мою невнимательность.
В программе MBAM провел удаление обнаруженных вирусов
С Уважением Алексей

Добавлено через 7 минут

Скрипты выполнил, после перезагрузки потерял какой-то драйвер.
quarantine.zip выполнил по правилам, что дальше?

Добавлено через 40 секунд

Делаю повторный лог МВАМ

[Alexshow]

Готово, но по-моему он тот же самый...
Простите мне мою тупость .....

[Alexshow]

Нашел новый лог прямо в программе, сейчас вышлю

[polword]

старый лог прикрепили.

[Alexshow]

готово

[polword]

чисто

Добавлено через 45 секунд

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

[Alexshow]

совершил очередную перезагрузку, все работает, в автозагрузку "ни кто не просится", правда потерял драйвер непонятного не определенного устройства:
http://clip2net.com/page/m0/7048748, да в принципе потом наверняка что-нибудь выскочит.
Что мне делать дальше?

Добавлено через 50 секунд

чисто

Добавлено через 45 секунд

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

Выполняю

Добавлено через 11 минут

Готово!
Что делать дальше?
С Уважением Алексей
P/S Если делать больше ни чего не надо, то скажите Как я могу отблагодарить Вас за оказанную помощь!

Добавлено через 4 минуты

Восстановление системы включить обратно?

[polword]

правда потерял драйвер непонятного не определенного устройства:

удалите его через диспетчер устройств.

Восстановление системы включить обратно?

включите

Добавлено через 53 секунды

P/S Если делать больше ни чего не надо, то скажите Как я могу отблагодарить Вас за оказанную помощь!

- Проведите процедуру, которая описана в первом сообщении тут

[Alexshow]

Все сделал спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 43
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\alexshow\application data\ltzqai.exe - Worm.Win32.AutoRun.hgg ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Inject.2, AVAST4: Win32:Trojan-gen )
  2. c:\windows\system32\67.exe - Trojan.Win32.Buzus.ewrw ( DrWEB: Trojan.Spambot.9106, BitDefender: Gen:Variant.Inject.2, AVAST4: Win32:Trojan-gen )