Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Вирусы msvmiomode.exe ctfdrive32.exe (заявка № 86061)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    14
    Вес репутации
    23

    Exclamation Вирусы msvmiomode.exe ctfdrive32.exe

    Всем здравствуйте.
    Долгое время не выходил инет проблемы с провайдером. Через минуту после первого включения полезла по трафику всякая гадость и в автозагрузку. Что только не пробовал 3 дня ручками и утилитами пытался вывести. не смог
    Помогите плиз найти корень зла!


    ps забыл добавить что при загрузке самопроизвольно открываются Мои Документы
    Вложения Вложения
    Последний раз редактировалось sentinel.dm; 22.08.2010 в 21:57.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1.Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\Documents and Settings\Dima\Application Data\ltzqai.exe','');
     DeleteFile('C:\Documents and Settings\Dima\Application Data\ltzqai.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470\syscr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470', '*.*', true);
     DeleteDirectory('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    14
    Вес репутации
    23

    Сделал

    надеюсь лог MBAM тот

    пс: пока перед интернет подключениесм не сниму в диспетчере 2 процесса cfdrive32.exe инет подключается но страницы не грузит
    если же после запуска инета снять то тогда только перезагрузка
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\WINDOWS\system32\53.exe','');
     QuarantineFile('C:\Temp\507.exe','');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\Temp\507.exe');
     DeleteFile('C:\WINDOWS\system32\53.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     QuarantineFile('D:\ГИС\autorun.exe','');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(13);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - удалите в MBAM, что останется их этого
    Код:
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-1745144194-8676538882-414842321-0223\syscr.exe,explorer.exe,C:\Temp\507.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
    
    Зараженные файлы:
    C:\RECYCLER\S-1-5-21-1745144194-8676538882-414842321-0223\syscr.exe (Worm.Autorun.B) -> No action taken.
    C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470\syscr.exe (Worm.Autorun.B) -> No action taken.
    C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken.
    C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
    C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте повторный лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    14
    Вес репутации
    23

    Мои документы больше не открываются автоматически при загрузке

    Мои документы больше не открываются автоматически при загрузке
    уже плюс
    Сначала вроде после выполнения первого скрипта и перезагрузки вроде всё хорошо, но как только включил инет Startup Monitor выдал что эти экзехи снова пытаются залезть в реестр.
    Новый карантин загрузил
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Program Files\Google\Update\GoogleUpdate.exe','');
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');
     TerminateProcessByName('c:\windows\cfdrive32.exe');
     DeleteFile('c:\windows\cfdrive32.exe');
     DeleteFile('c:\windows\system32\msvmiode.exe');
     DeleteFile('C:\Documents and Settings\Dima\Application Data\ltzqai.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;

  8. #7
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    14
    Вес репутации
    23

    Всё сделал

    Нью сисчек
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteService('gupdate');
     BC_DeleteFile('C:\Program Files\Google\Update\GoogleUpdate.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     DeleteFile('%windir%\system32\Drivers\etc\hosts');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteRepair(13); 
     BC_DeleteFile('C:\Program Files\Google\Update\GoogleUpdate.exe');
     BC_DeleteSvc('gupdate');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  10. #9
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    14
    Вес репутации
    23

    Далее

    Новый...
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('C:\WINDOWS\system32\23.exe','');
     DeleteFile('C:\WINDOWS\system32\23.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - очистите мусор в системе
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
    - Сделайте повторный лог virusinfo_syscheck.zip;

  12. #11
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    14
    Вес репутации
    23

    Вся гадость пропала пока не вышел в интернет

    Всё было хорошо пока не подключился к инету. Теперь не могу зайти ни на один сайт антивирусов, Ваш, и майкрософт. Только через анонимайзер зашёл. Поэтому ничего не могу закачать. Что делать дальше?

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от sentinel.dm Посмотреть сообщение
    Что делать дальше?
    надо бы вот это
    Цитата Сообщение от polword Посмотреть сообщение
    - Сделайте повторный лог virusinfo_syscheck.zip;

  14. #13
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    14
    Вес репутации
    23
    http://webfile.ru/4686207
    только если так могу
    нормального анонимайзера не мог найти скрипты глючат на них
    это zip syscheck

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    делайте лог Gmer

  16. #15
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    14
    Вес репутации
    23
    После запуска гмера, он нашел руткит и сделал автоматически полную проверку после того как я нажал да - лог гмер.log
    Интернет не запускался поэтому я удалил сервис обнаруженный руткита на свой страх и риск.
    После удаления и перезагрузки сделал новый лог гмера- гмер2.log
    и сисчек.
    На сайт Ваш стал заходить.
    Вложения Вложения

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    в логах чисто

  18. #17
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    14
    Вес репутации
    23
    Приветствую.
    Все проблемы с троянами решены, экзе больше нигде не обнаруживались
    Остался руткит который в обычном режиме не лечится а в безопасном его длл C:\WINDOWS\system32\ymojiti.dll
    удаляется avz при обычном лечении, после перезагрузки всё отлично не одна из программ ничего не находит, на сайты прекрасно тоже заходит, но....
    после второй перезагрузки(каждой второй), опа, снова ОН и пошло- на сайты антивирей и вирусинфо не заходит. А также при рабочем рутките почему то не срабатывают ключи автозагрузки программ которые в трей (PStartmon, PuntoSwitcher и т.д.).
    1)MBAM ничего полезного не находит поэтому логи не прилагаю.
    2)гмер.log старый, новый не сохранил а делать его долго
    старый от нового отличается на глазок только новым рандомным названием руткита из набора букв, а DLL та же и после удаления руткита востанавливается с тем же названием.
    3)лог с название ПРИ СТАНДАРТНОМ ЛЕЧЕНИИ
    приложил на всякий случай так как при выполнении скрипта 2 другой получается
    3)Остальные логи тут....
    Вложения Вложения
    Последний раз редактировалось sentinel.dm; 25.08.2010 в 23:38.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\ymojiti.dll','');
     BC_ImportAll;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сохраните текст ниже как 1.bat в ту же папку, где находится 3msi84di.exe (GMER) и запустите этот батник(1.bat):
    Код:
    3msi84di.exe -del service kbnrfcrm
    3msi84di.exe -del file "C:\WINDOWS\system32\ymojiti.dll"
    3msi84di.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbnrfcrm"
    3msi84di.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kbnrfcrm"
    3msi84di.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip

  20. #19
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    14
    Вес репутации
    23
    Закачал.
    Кстати теперь в автозагрузку пытались прописатся
    ключи в
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    штук 7 ключей со ссылками на dll и exe
    dll вида crypto32.dll
    cryptonet.dll и другие
    а также снова появились msvmiode.exe, cfdrive32.exe
    taskman ключ на syscr.exe в корзине и всё остальное что было в начале
    ВСЁ это после перезагрузки как сделал карантин и сисчек иначе инет не работал
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - сделайте лог Combofix

  • Уважаемый(ая) sentinel.dm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирусы-картинки и вирусы-музыка?
      От catmen08 в разделе Общая сетевая безопасность
      Ответов: 16
      Последнее сообщение: 04.05.2010, 17:01
    2. Ответов: 1
      Последнее сообщение: 09.04.2010, 18:00
    3. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:44
    4. Вирусы полечил, вирусы остались
      От Yurii в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.07.2008, 07:57
    5. Вирусы... снова вирусы
      От Len в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.06.2008, 16:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00230 seconds with 20 queries