Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Надоедливый вирус msvmiode.exe и 18089.exe (заявка № 85459)

  1. #1
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24

    Thumbs up Надоедливый вирус msvmiode.exe и 18089.exe

    Понимаю что вирус, AVPTool и CureIt не помогают, делал из под SafeMode с расширенной эвристикой и не один раз, на постоянку стоит Nod32 4.0.468.0 показывает что нашел вирусы но они не удаляются. делал по инструкции, пишу первый раз - сильно не пинать
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [MSODESNV7] D:\WINDOWS\system32\msvmiode.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\752276.exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\752276.exe');  
     TerminateProcessByName('d:\windows\system32\msvmiode.exe');
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\9361.exe');  
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\18089.exe');
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\752276.exe','');     
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\9361.exe','');
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\18089.exe','');      
     QuarantineFile('C:\greylink0025\greylink.exe','');
     QuarantineFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe','');
     QuarantineFile('D:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('D:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('J:\myfolder\myfile.exe','');
     QuarantineFile('J:\autorun.inf','');
     QuarantineFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe','');  
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\752276.exe');
     DeleteFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe');
     DeleteFile('D:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('D:\WINDOWS\system32\67.exe');
     DeleteFile('D:\WINDOWS\system32\87.exe');
     DeleteFile('D:\WINDOWS\cfdrive32.exe');
     DeleteFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\18089.exe');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\9361.exe');
     DeleteFile('d:\windows\system32\msvmiode.exe');  
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(11);
     ClearHostsFile;     
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24
    сделал Как исправить файл Hosts
    выкладываю заново
    Вложения Вложения

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Карантин где?

    Добавлено через 4 минуты

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\752276.exe');  
     TerminateProcessByName('d:\windows\system32\msvmiode.exe');
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\9361.exe');  
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\18089.exe');
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\294.exe');
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\294.exe',''); 
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\752276.exe','');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\294.exe');   
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\752276.exe');     
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\9361.exe','');
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\18089.exe','');      
     QuarantineFile('C:\greylink0025\greylink.exe','');
     QuarantineFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe','');
     QuarantineFile('D:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('D:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('J:\myfolder\myfile.exe','');
     QuarantineFile('J:\autorun.inf','');
     QuarantineFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe','');  
     DeleteFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe');
     DeleteFile('D:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('D:\WINDOWS\system32\67.exe');
     DeleteFile('D:\WINDOWS\system32\87.exe');
     DeleteFile('D:\WINDOWS\cfdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     DeleteFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\18089.exe');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\9361.exe');
     DeleteFile('d:\windows\system32\msvmiode.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(11);
     ClearHostsFile;     
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Ещё раз повторите логи
    Последний раз редактировалось olejah; 15.08.2010 в 18:54. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24
    сорри я пока добовлял еще одно сообщение, вы уже ответили
    по хронологии должно было сначала мой пост потом ваш
    у меня щас цифры в названии вирусни другие, значит скрипты работать не будут .. что делать?

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Будут, выполните последний скрипт в безопасном режиме.

  8. #7
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24
    повтор логов
    вроде как после скрипта из под безопасного режима не было вирусни в процессах.
    Вложения Вложения

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    J: - это флешка? Если да, то вставьте перед выполнением скрипта

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    4 - HKLM\..\Run: [MSODESNV7] D:\WINDOWS\system32\msvmiode.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\2861.exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); 
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\2861.exe');
     TerminateProcessByName('d:\windows\system32\msvmiode.exe');
     QuarantineFile('d:\windows\system32\msvmiode.exe','');
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\2861.exe','');
     QuarantineFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe','');
     QuarantineFile('D:\WINDOWS\system32\msvmiode.exe','');
     DeleteFile('D:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\2861.exe');
     DeleteFile('d:\windows\system32\msvmiode.exe');
     DeleteFile('J:\myfolder\myfile.exe');              
     DeleteFile('J:\autorun.inf');     
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите лог virusinfo_syscheck.zip

  10. #9
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24
    quarantine2.zip залил, лог virusinfo_syscheck.zip повторил
    Вложения Вложения

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Выполните скрипт в АВЗ с подключенной J:\ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('J:\autorun.inf');
     DeleteFile('J:\myfolder\myfile.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - После этого сделайте лог МВАМ

  12. #11
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24
    это был комп на работе с моей флешкой. меня там уже нет. МВАМ сделать с подключенной флешкой не успел. возможно продолжить эту тему когда там буду? или надо начинать новую тему? или Вы
    Покажете, как удить рыбу
    и может я сам допетрю в чем дело. до сего момента я обходился силами антивирусов которые проверяют автоматом по нажатию одной кнопки.
    тут вродь тоже ничего сложного только надо знать как

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Запустили Вы компьютер со своими антивирусами, вот что я могу сказать. Лечение продолжим в удобное для Вас время, в этой теме, но - самодеятельность не приветствуется - нужно следовать нашим советам, либо лечиться самому.

  14. #13
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24
    ок. спасибо за помощь! никакой самодеятельности - обещаю! самодеятельностью уже сыт когда по два дня проверял всеми антивирями вдоль и поперек - устал, понимаете ли.

  15. #14
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24
    вот я снова на работе. результаты такие:
    в процессах вродь ничего лишнего нет, а в винде кое-чего не хватает. например нужно чтобы работало win+R.
    Еще винда сыпет ошибками
    Код:
    Ошибка приложения svchost.exe, версия 5.1.2600.5512, модуль ntdll.dll, версия 5.1.2600.5512, адрес 0x00041eed. 
    Код события:	1000
    Дата:		19.08.2010
    Время:		22:14:40
    и пр.
    Вложения Вложения

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Удалите в МВАМ
    Код:
    Зараженные файлы:
    D:\RECYCLER\S-1-5-21-4617422625-4184359122-573685479-0904\syscr.exe (Worm.Autorun.B) -> No action taken.
    D:\RECYCLER\S-1-5-21-6281288921-9677931647-754845055-6730\syscr.exe (Worm.Autorun.B) -> No action taken.
    D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.
    D:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
    D:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24
    выполнил
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    В логах подозрительного нет.

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  19. #18
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24
    спасибо за помощь! с вирусами вродь покончено, подозрительного сам не вижу поэтому выложил логи. последний совет выполнил - avz написал:
    Поиск критических уязвимостей
    Часто используемые уязвимости не обнаружены
    меня ток это волнует:
    >> Заблокировано меню Пуск\Выполнить
    >> Заблокирован элемент Выполнить в меню Пуск
    как это исправлять, не подскажете?
    Вложения Вложения

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от Mad_PC Посмотреть сообщение
    меня ток это волнует:
    >> Заблокировано меню Пуск\Выполнить
    >> Заблокирован элемент Выполнить в меню Пуск
    в прикрепленных логах такого нет

  21. #20
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    24
    в том то и дело, что в логах такого нет, но это не работает. ни win+R, нету пуск-выполнить и нет выполнить в настройках меню пуск

  • Уважаемый(ая) Mad_PC, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. появился очень надоедливый вирус
      От mailkis в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.03.2011, 12:37
    2. Надоедливый вирус.
      От Reg1oxeN в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.12.2010, 16:35
    3. не удаляемый вирус msvmiode
      От DarkAXE в разделе Помогите!
      Ответов: 34
      Последнее сообщение: 27.11.2010, 01:51
    4. Просто надоедливый вирус.
      От Tahom в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 01.09.2010, 22:02
    5. Надоедливый вирус (возможно Trojan-Proxy.Win32.Horst.gf)
      От ДмитрийД в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 05.12.2008, 21:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00358 seconds with 22 queries