-
Junior Member
- Вес репутации
- 51
Надоедливый вирус msvmiode.exe и 18089.exe
Понимаю что вирус, AVPTool и CureIt не помогают, делал из под SafeMode с расширенной эвристикой и не один раз, на постоянку стоит Nod32 4.0.468.0 показывает что нашел вирусы но они не удаляются. делал по инструкции, пишу первый раз - сильно не пинать
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [MSODESNV7] D:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\752276.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\752276.exe');
TerminateProcessByName('d:\windows\system32\msvmiode.exe');
TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\9361.exe');
TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\18089.exe');
QuarantineFile('d:\docume~1\new_tech\locals~1\temp\752276.exe','');
QuarantineFile('d:\docume~1\new_tech\locals~1\temp\9361.exe','');
QuarantineFile('d:\docume~1\new_tech\locals~1\temp\18089.exe','');
QuarantineFile('C:\greylink0025\greylink.exe','');
QuarantineFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe','');
QuarantineFile('D:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('D:\WINDOWS\cfdrive32.exe','');
QuarantineFile('J:\myfolder\myfile.exe','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe','');
DeleteFile('d:\docume~1\new_tech\locals~1\temp\752276.exe');
DeleteFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe');
DeleteFile('D:\WINDOWS\system32\msvmiode.exe');
DeleteFile('D:\WINDOWS\system32\67.exe');
DeleteFile('D:\WINDOWS\system32\87.exe');
DeleteFile('D:\WINDOWS\cfdrive32.exe');
DeleteFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe');
DeleteFile('d:\docume~1\new_tech\locals~1\temp\18089.exe');
DeleteFile('d:\docume~1\new_tech\locals~1\temp\9361.exe');
DeleteFile('d:\windows\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 51
сделал Как исправить файл Hosts
выкладываю заново
-
Карантин где?
Добавлено через 4 минуты
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\752276.exe');
TerminateProcessByName('d:\windows\system32\msvmiode.exe');
TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\9361.exe');
TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\18089.exe');
TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\294.exe');
QuarantineFile('d:\docume~1\new_tech\locals~1\temp\294.exe','');
QuarantineFile('d:\docume~1\new_tech\locals~1\temp\752276.exe','');
DeleteFile('d:\docume~1\new_tech\locals~1\temp\294.exe');
DeleteFile('d:\docume~1\new_tech\locals~1\temp\752276.exe');
QuarantineFile('d:\docume~1\new_tech\locals~1\temp\9361.exe','');
QuarantineFile('d:\docume~1\new_tech\locals~1\temp\18089.exe','');
QuarantineFile('C:\greylink0025\greylink.exe','');
QuarantineFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe','');
QuarantineFile('D:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('D:\WINDOWS\cfdrive32.exe','');
QuarantineFile('J:\myfolder\myfile.exe','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe','');
DeleteFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe');
DeleteFile('D:\WINDOWS\system32\msvmiode.exe');
DeleteFile('D:\WINDOWS\system32\67.exe');
DeleteFile('D:\WINDOWS\system32\87.exe');
DeleteFile('D:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
DeleteFile('d:\docume~1\new_tech\locals~1\temp\18089.exe');
DeleteFile('d:\docume~1\new_tech\locals~1\temp\9361.exe');
DeleteFile('d:\windows\system32\msvmiode.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Ещё раз повторите логи
Последний раз редактировалось olejah; 15.08.2010 в 18:54.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
сорри я пока добовлял еще одно сообщение, вы уже ответили
по хронологии должно было сначала мой пост потом ваш
у меня щас цифры в названии вирусни другие, значит скрипты работать не будут .. что делать?
-
Будут, выполните последний скрипт в безопасном режиме.
-
-
Junior Member
- Вес репутации
- 51
повтор логов
вроде как после скрипта из под безопасного режима не было вирусни в процессах.
-
J: - это флешка? Если да, то вставьте перед выполнением скрипта
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
4 - HKLM\..\Run: [MSODESNV7] D:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\2861.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\2861.exe');
TerminateProcessByName('d:\windows\system32\msvmiode.exe');
QuarantineFile('d:\windows\system32\msvmiode.exe','');
QuarantineFile('d:\docume~1\new_tech\locals~1\temp\2861.exe','');
QuarantineFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe','');
QuarantineFile('D:\WINDOWS\system32\msvmiode.exe','');
DeleteFile('D:\WINDOWS\system32\msvmiode.exe');
DeleteFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe');
DeleteFile('d:\docume~1\new_tech\locals~1\temp\2861.exe');
DeleteFile('d:\windows\system32\msvmiode.exe');
DeleteFile('J:\myfolder\myfile.exe');
DeleteFile('J:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 51
quarantine2.zip залил, лог virusinfo_syscheck.zip повторил
-
Выполните скрипт в АВЗ с подключенной J:\ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('J:\autorun.inf');
DeleteFile('J:\myfolder\myfile.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- После этого сделайте лог МВАМ
-
-
Junior Member
- Вес репутации
- 51
это был комп на работе с моей флешкой. меня там уже нет. МВАМ сделать с подключенной флешкой не успел. возможно продолжить эту тему когда там буду? или надо начинать новую тему? или Вы и может я сам допетрю в чем дело. до сего момента я обходился силами антивирусов которые проверяют автоматом по нажатию одной кнопки.
тут вродь тоже ничего сложного только надо знать как
-
Запустили Вы компьютер со своими антивирусами, вот что я могу сказать. Лечение продолжим в удобное для Вас время, в этой теме, но - самодеятельность не приветствуется - нужно следовать нашим советам, либо лечиться самому.
-
-
Junior Member
- Вес репутации
- 51
ок. спасибо за помощь! никакой самодеятельности - обещаю! самодеятельностью уже сыт когда по два дня проверял всеми антивирями вдоль и поперек - устал, понимаете ли.
-
Junior Member
- Вес репутации
- 51
вот я снова на работе. результаты такие:
в процессах вродь ничего лишнего нет, а в винде кое-чего не хватает. например нужно чтобы работало win+R.
Еще винда сыпет ошибками
Код:
Ошибка приложения svchost.exe, версия 5.1.2600.5512, модуль ntdll.dll, версия 5.1.2600.5512, адрес 0x00041eed.
Код события: 1000
Дата: 19.08.2010
Время: 22:14:40
и пр.
-
Удалите в МВАМ
Код:
Зараженные файлы:
D:\RECYCLER\S-1-5-21-4617422625-4184359122-573685479-0904\syscr.exe (Worm.Autorun.B) -> No action taken.
D:\RECYCLER\S-1-5-21-6281288921-9677931647-754845055-6730\syscr.exe (Worm.Autorun.B) -> No action taken.
D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.
D:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
D:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
В логах подозрительного нет.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 51
спасибо за помощь! с вирусами вродь покончено, подозрительного сам не вижу поэтому выложил логи. последний совет выполнил - avz написал:
Поиск критических уязвимостей
Часто используемые уязвимости не обнаружены
меня ток это волнует:
>> Заблокировано меню Пуск\Выполнить
>> Заблокирован элемент Выполнить в меню Пуск
как это исправлять, не подскажете?
-
Сообщение от
Mad_PC
меня ток это волнует:
>> Заблокировано меню Пуск\Выполнить
>> Заблокирован элемент Выполнить в меню Пуск
в прикрепленных логах такого нет
-
-
Junior Member
- Вес репутации
- 51
в том то и дело, что в логах такого нет, но это не работает. ни win+R, нету пуск-выполнить и нет выполнить в настройках меню пуск