Два дня пытался побороть эти замечательные процессы самостоятельно - но теперь вот к вам бегу за помощью, согласно инструкциям.
Заранее - большое спасибо вам, товарищи добрые волшебники!
Логи
Два дня пытался побороть эти замечательные процессы самостоятельно - но теперь вот к вам бегу за помощью, согласно инструкциям.
Заранее - большое спасибо вам, товарищи добрые волшебники!
Логи
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\aswl2k.exe'); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G114S39Z\8[1].exe',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G114S39Z\8[1].exe'); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\8[1].exe',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\8[1].exe'); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SE0RVEGA\8[1].exe',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SE0RVEGA\8[1].exe'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\s[1].exe',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\s[1].exe'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\8bf[1].exe',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\8bf[1].exe'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\s[2].exe',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\s[2].exe'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[1].exe',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[1].exe'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[2].exe',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[2].exe'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\s[1].exe',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\s[1].exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-9996091375-4770953757-161163247-7583\syscr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-9996091375-4770953757-161163247-7583\syscr.exe'); QuarantineFile('C:\WINDOWS\system32\88.exe',''); DeleteFile('C:\WINDOWS\system32\88.exe'); QuarantineFile('C:\WINDOWS\system32\81.exe',''); DeleteFile('C:\WINDOWS\system32\81.exe'); QuarantineFile('C:\WINDOWS\system32\75.exe',''); DeleteFile('C:\WINDOWS\system32\75.exe'); QuarantineFile('C:\WINDOWS\system32\73.exe',''); DeleteFile('C:\WINDOWS\system32\73.exe'); QuarantineFile('C:\WINDOWS\system32\48.exe',''); DeleteFile('C:\WINDOWS\system32\48.exe'); QuarantineFile('C:\WINDOWS\system32\34.exe',''); DeleteFile('C:\WINDOWS\system32\34.exe'); QuarantineFile('C:\WINDOWS\system32\20.exe',''); DeleteFile('C:\WINDOWS\system32\20.exe'); DeleteFile('C:\WINDOWS\system32\17.exe'); QuarantineFile('C:\WINDOWS\system32\17.exe',''); QuarantineFile('c:\windows\system32\aswl2k.exe',''); QuarantineFile('c:\windows\system32\msvmiode.exe',''); DeleteFile('c:\windows\system32\msvmiode.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
Olejah, спасибо!
Скрипты выполнил, quarantine.zip отправил, новые логи приаттачиваю:
Вроде всё умерло, но мог остаться мусор, сделайте лог МВАМ
Эммм... ну syscache.exe вроде пропал, но cfdrive32.exe и msvmiode.exe остались активными.
Лог MBAM в аттаче.
Еще раз спасибо!
Вы же читали как делать лог МВАМ, хочу спросить, что Вы думаете об этом пункте -, так как Вы его успешно проигнорировали...3. Запустите полное сканирование. По вышеуказанной причине - ничего не удаляйте, не посоветовавшись с хелперами.
Эх Время было позднее, ночь. Соображал плохо.
Простите уж меня пожалуйста. И подскажите, что дальше-то делать.
Повторите лог МВАМ и скажите беспокоит ли ещё что-нибудь.
Лог MBAM сделал снова, вот он.
Ни cfdrive32.exe, ни msvmiode.exe уходить пока вроде бы не собираются...
Удалите в МВАМ все найденное и предоставьте новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
С удовольствием предоставляю лог MBAM после удаления всего обнаруженного.
перезагрузитесь и сделайте лог снова
и вот что получилось у MBAM после перезагрузки:
удалите все найденное в MBAM, лог повторите
Вот что теперь говорит MBAM...
Удалить, перезагрузиться и снова просканировать?
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\m[1].exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\381.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\333.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\594.exe',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\m[1].exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\381.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\333.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\594.exe'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\704.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\704.exe'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\ff[1].exe',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\ff[1].exe'); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\ff[1].exe',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\ff[1].exe'); QuarantineFile('C:\WINDOWS\system32\06.exe',''); DeleteFile('C:\WINDOWS\system32\06.exe'); QuarantineFile('C:\WINDOWS\system32\14.exe',''); DeleteFile('C:\WINDOWS\system32\14.exe'); QuarantineFile('C:\WINDOWS\system32\21.exe',''); DeleteFile('C:\WINDOWS\system32\21.exe'); QuarantineFile('C:\WINDOWS\system32\32.exe',''); DeleteFile('C:\WINDOWS\system32\32.exe'); QuarantineFile('C:\WINDOWS\system32\35.exe',''); DeleteFile('C:\WINDOWS\system32\35.exe'); QuarantineFile('C:\WINDOWS\system32\40.exe',''); DeleteFile('C:\WINDOWS\system32\40.exe'); QuarantineFile('C:\WINDOWS\system32\43.exe',''); DeleteFile('C:\WINDOWS\system32\43.exe'); QuarantineFile('C:\WINDOWS\system32\64.exe',''); DeleteFile('C:\WINDOWS\system32\64.exe'); QuarantineFile('C:\WINDOWS\system32\77.exe',''); DeleteFile('C:\WINDOWS\system32\77.exe'); QuarantineFile('C:\WINDOWS\system32\80.exe',''); DeleteFile('C:\WINDOWS\system32\80.exe'); QuarantineFile('C:\WINDOWS\system32\82.exe',''); DeleteFile('C:\WINDOWS\system32\82.exe'); BC_ImportAll; ExecuteSysClean; DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- перезагрузитесь
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте повторный логMBAM
Логи прилагаются. Спасибо.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\33.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте лог MBAM
Спасибо!
Инструкции выполнил. Лог MBAM наконец-то выглядит красиво
Кажется, благодаря вашей помощи удалось-таки вытравить этих гадов!
Лог в порядке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) rotbart, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.