Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

syscache.exe, cfdrive32.exe,msvmiode.exe (заявка № 86235)

  1. #1
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    50

    Exclamation syscache.exe, cfdrive32.exe,msvmiode.exe

    Здравствуйте, при загрузке компьютера появляются данные процессы, при этом пропадает интернет. Даже переустановка винды не помогола. Выкладываю логи AVZ и hijackthis. Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\syscache.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('C:\Documents and Settings\Денис\Application Data\ltzqai.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3145208451-1398616148-880457050-6125\syscr.exe,explorer.exe,C:\Documents and Settings\Денис\Application Data\ltzqai.exe','');
     QuarantineFile('c:\windows\system32\syscache.exe','');
     QuarantineFile('c:\windows\system32\msvmiode.exe','');
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');
     DeleteFile('c:\windows\system32\msvmiode.exe');
     DeleteFile('c:\windows\system32\syscache.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3145208451-1398616148-880457050-6125\syscr.exe,explorer.exe,C:\Documents and Settings\Денис\Application Data\ltzqai.exe');
     DeleteFile('C:\Documents and Settings\Денис\Application Data\ltzqai.exe');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\syscache.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4219');
     ClearHostsFile;
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    2.Профиксите в HijackThis, что останется
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
    O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
    O4 - HKLM\..\Run: [4219] C:\WINDOWS\system32\syscache.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    50
    Все сделал, больше эти процессы не появлялись

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - удалите в MBAM
    Код:
    Зараженные файлы:
    D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004836.exe (Malware.Packer) -> No action taken.
    D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004838.exe (Malware.Packer) -> No action taken.
    D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004839.exe (Malware.Packer) -> No action taken.
    D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004843.exe (Malware.Packer) -> No action taken.
    D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004844.exe (Malware.Packer) -> No action taken.
    D:\System Volume Information\_restore{4FE78113-75F1-4820-976A-2B760066F9FF}\RP22\A0004845.exe (Malware.Packer) -> No action taken.
    D:\System Volume Information\_restore{54C2F054-792C-4DA2-8E1B-53BECC810448}\RP21\A0006615.exe (Trojan.Downloader) -> No action taken.
    D:\System Volume Information\_restore{E92743FD-770D-48E4-A15F-686C293B6864}\RP13\A0006543.dll (Trojan.Downloader) -> No action taken.
    D:\System Volume Information\_restore{E92743FD-770D-48E4-A15F-686C293B6864}\RP13\A0006697.dll (Trojan.Downloader) -> No action taken.
    C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
    C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
    - Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(13);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  6. #5
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    50
    после последних действий и перезагрузки процессы снова появились

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - сделайте лог Combofix

  8. #7
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    50
    Готово

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\syscache.exe
    Driver::
    
    NetSvc::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    50
    вот

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Удалите ComboFix
    - Сделайте повторный лог hijackthis.log

  12. #11
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    50
    cделал

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    чисто.

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

  14. #13
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    50
    После установки SP3 снова появились эти процессы syscache.exe, cfdrive32.exe,msvmiode.exe

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    обновления все поставили?

    Добавлено через 58 секунд

    делайте комплект логов
    Последний раз редактировалось polword; 25.08.2010 в 18:28. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    50
    все сделал

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Денис\Application Data\ltzqai.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3145208451-1398616148-880457050-6125\syscr.exe');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\syscache.exe');
    RegKeyParamDel( 'HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', Shell');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    50
    выполнить скрипт не получается, пишет "Ошибка: ')' expected в позиции 9:100

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    выполняйте этот
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Денис\Application Data\ltzqai.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3145208451-1398616148-880457050-6125\syscr.exe');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\syscache.exe');
    RegKeyParamDel( 'HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.

  20. #19
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    11
    Вес репутации
    50
    сделал

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    2.Выполните скрипт в AVZ
    Код:
    begin
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     ExecuteRepair(11);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  • Уважаемый(ая) Denis83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 21
      Последнее сообщение: 10.09.2010, 22:16
    2. Зараза msvmiode.exe, syscache.exe, cfdrive32.exe
      От Flange в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 03.09.2010, 17:56
    3. syscache.exe, cfdrive32.exe, msvmiode.exe
      От rotbart в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 29.08.2010, 01:26
    4. syscache.exe, cfdrive32.exe,msvmiode.exe
      От BalenS в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.08.2010, 14:46
    5. cfdrive32.exe; msvmiode.exe; syscache.exe (заявка №27850)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 22.08.2010, 00:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01345 seconds with 19 queries