-
Junior Member
- Вес репутации
- 50
Вирусы msvmiomode.exe ctfdrive32.exe
Всем здравствуйте.
Долгое время не выходил инет проблемы с провайдером. Через минуту после первого включения полезла по трафику всякая гадость и в автозагрузку. Что только не пробовал 3 дня ручками и утилитами пытался вывести. не смог
Помогите плиз найти корень зла!
ps забыл добавить что при загрузке самопроизвольно открываются Мои Документы
Последний раз редактировалось sentinel.dm; 22.08.2010 в 21:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\Documents and Settings\Dima\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Dima\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
DeleteFileMask('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Сделал
надеюсь лог MBAM тот
пс: пока перед интернет подключениесм не сниму в диспетчере 2 процесса cfdrive32.exe инет подключается но страницы не грузит
если же после запуска инета снять то тогда только перезагрузка
-
1.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\system32\53.exe','');
QuarantineFile('C:\Temp\507.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\Temp\507.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
QuarantineFile('D:\ГИС\autorun.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- удалите в MBAM, что останется их этого
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-1745144194-8676538882-414842321-0223\syscr.exe,explorer.exe,C:\Temp\507.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-1745144194-8676538882-414842321-0223\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-2553991060-5654258061-944480425-7470\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Мои документы больше не открываются автоматически при загрузке
Мои документы больше не открываются автоматически при загрузке
уже плюс
Сначала вроде после выполнения первого скрипта и перезагрузки вроде всё хорошо, но как только включил инет Startup Monitor выдал что эти экзехи снова пытаются залезть в реестр.
Новый карантин загрузил
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Google\Update\GoogleUpdate.exe','');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\Dima\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 50
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('gupdate');
BC_DeleteFile('C:\Program Files\Google\Update\GoogleUpdate.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
DeleteFile('%windir%\system32\Drivers\etc\hosts');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(13);
BC_DeleteFile('C:\Program Files\Google\Update\GoogleUpdate.exe');
BC_DeleteSvc('gupdate');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 50
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\23.exe','');
DeleteFile('C:\WINDOWS\system32\23.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- очистите мусор в системе
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 50
Вся гадость пропала пока не вышел в интернет
Всё было хорошо пока не подключился к инету. Теперь не могу зайти ни на один сайт антивирусов, Ваш, и майкрософт. Только через анонимайзер зашёл. Поэтому ничего не могу закачать. Что делать дальше?
-
Сообщение от
sentinel.dm
Что делать дальше?
надо бы вот это
Сообщение от
polword
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 50
http://webfile.ru/4686207
только если так могу
нормального анонимайзера не мог найти скрипты глючат на них
это zip syscheck
-
-
-
Junior Member
- Вес репутации
- 50
После запуска гмера, он нашел руткит и сделал автоматически полную проверку после того как я нажал да - лог гмер.log
Интернет не запускался поэтому я удалил сервис обнаруженный руткита на свой страх и риск.
После удаления и перезагрузки сделал новый лог гмера- гмер2.log
и сисчек.
На сайт Ваш стал заходить.
-
-
-
Junior Member
- Вес репутации
- 50
Приветствую.
Все проблемы с троянами решены, экзе больше нигде не обнаруживались
Остался руткит который в обычном режиме не лечится а в безопасном его длл C:\WINDOWS\system32\ymojiti.dll
удаляется avz при обычном лечении, после перезагрузки всё отлично не одна из программ ничего не находит, на сайты прекрасно тоже заходит, но....
после второй перезагрузки(каждой второй), опа, снова ОН и пошло- на сайты антивирей и вирусинфо не заходит. А также при рабочем рутките почему то не срабатывают ключи автозагрузки программ которые в трей (PStartmon, PuntoSwitcher и т.д.).
1)MBAM ничего полезного не находит поэтому логи не прилагаю.
2)гмер.log старый, новый не сохранил а делать его долго
старый от нового отличается на глазок только новым рандомным названием руткита из набора букв, а DLL та же и после удаления руткита востанавливается с тем же названием.
3)лог с название ПРИ СТАНДАРТНОМ ЛЕЧЕНИИ
приложил на всякий случай так как при выполнении скрипта 2 другой получается
3)Остальные логи тут....
Последний раз редактировалось sentinel.dm; 25.08.2010 в 23:38.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\ymojiti.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сохраните текст ниже как 1.bat в ту же папку, где находится 3msi84di.exe (GMER) и запустите этот батник(1.bat):
Код:
3msi84di.exe -del service kbnrfcrm
3msi84di.exe -del file "C:\WINDOWS\system32\ymojiti.dll"
3msi84di.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbnrfcrm"
3msi84di.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kbnrfcrm"
3msi84di.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 50
Закачал.
Кстати теперь в автозагрузку пытались прописатся
ключи в
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
штук 7 ключей со ссылками на dll и exe
dll вида crypto32.dll
cryptonet.dll и другие
а также снова появились msvmiode.exe, cfdrive32.exe
taskman ключ на syscr.exe в корзине и всё остальное что было в начале
ВСЁ это после перезагрузки как сделал карантин и сисчек иначе инет не работал
-
-