Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

syscache.exe, cfdrive32.exe, msvmiode.exe (заявка № 86272)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2010
    Сообщений
    10
    Вес репутации
    50

    Exclamation syscache.exe, cfdrive32.exe, msvmiode.exe

    Два дня пытался побороть эти замечательные процессы самостоятельно - но теперь вот к вам бегу за помощью, согласно инструкциям.
    Заранее - большое спасибо вам, товарищи добрые волшебники!
    Логи

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\system32\aswl2k.exe');  
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');  
    QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G114S39Z\8[1].exe','');
    DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G114S39Z\8[1].exe');
    QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\8[1].exe','');
    DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\8[1].exe');
    QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SE0RVEGA\8[1].exe','');
    DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SE0RVEGA\8[1].exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\s[1].exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\s[1].exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\8bf[1].exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\8bf[1].exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\s[2].exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\s[2].exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[1].exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[1].exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[2].exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[2].exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\s[1].exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\s[1].exe');
    QuarantineFile('C:\RECYCLER\S-1-5-21-9996091375-4770953757-161163247-7583\syscr.exe','');
    DeleteFile('C:\RECYCLER\S-1-5-21-9996091375-4770953757-161163247-7583\syscr.exe');
    QuarantineFile('C:\WINDOWS\system32\88.exe','');
    DeleteFile('C:\WINDOWS\system32\88.exe');
    QuarantineFile('C:\WINDOWS\system32\81.exe','');
    DeleteFile('C:\WINDOWS\system32\81.exe');
    QuarantineFile('C:\WINDOWS\system32\75.exe','');
    DeleteFile('C:\WINDOWS\system32\75.exe');
    QuarantineFile('C:\WINDOWS\system32\73.exe','');
    DeleteFile('C:\WINDOWS\system32\73.exe');
    QuarantineFile('C:\WINDOWS\system32\48.exe','');
    DeleteFile('C:\WINDOWS\system32\48.exe');
    QuarantineFile('C:\WINDOWS\system32\34.exe','');
    DeleteFile('C:\WINDOWS\system32\34.exe');
    QuarantineFile('C:\WINDOWS\system32\20.exe','');
    DeleteFile('C:\WINDOWS\system32\20.exe');
    DeleteFile('C:\WINDOWS\system32\17.exe');
    QuarantineFile('C:\WINDOWS\system32\17.exe','');  
      QuarantineFile('c:\windows\system32\aswl2k.exe','');
     QuarantineFile('c:\windows\system32\msvmiode.exe','');
     DeleteFile('c:\windows\system32\msvmiode.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');     
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    25.08.2010
    Сообщений
    10
    Вес репутации
    50
    Olejah, спасибо!
    Скрипты выполнил, quarantine.zip отправил, новые логи приаттачиваю:

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Вроде всё умерло, но мог остаться мусор, сделайте лог МВАМ

  6. #5
    Junior Member Репутация
    Регистрация
    25.08.2010
    Сообщений
    10
    Вес репутации
    50
    Эммм... ну syscache.exe вроде пропал, но cfdrive32.exe и msvmiode.exe остались активными.
    Лог MBAM в аттаче.
    Еще раз спасибо!

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Вы же читали как делать лог МВАМ, хочу спросить, что Вы думаете об этом пункте -
    3. Запустите полное сканирование. По вышеуказанной причине - ничего не удаляйте, не посоветовавшись с хелперами.
    , так как Вы его успешно проигнорировали...

  8. #7
    Junior Member Репутация
    Регистрация
    25.08.2010
    Сообщений
    10
    Вес репутации
    50
    Эх Время было позднее, ночь. Соображал плохо.
    Простите уж меня пожалуйста. И подскажите, что дальше-то делать.

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Повторите лог МВАМ и скажите беспокоит ли ещё что-нибудь.

  10. #9
    Junior Member Репутация
    Регистрация
    25.08.2010
    Сообщений
    10
    Вес репутации
    50
    Лог MBAM сделал снова, вот он.
    Ни cfdrive32.exe, ни msvmiode.exe уходить пока вроде бы не собираются...

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ все найденное и предоставьте новый лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    25.08.2010
    Сообщений
    10
    Вес репутации
    50
    С удовольствием предоставляю лог MBAM после удаления всего обнаруженного.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    перезагрузитесь и сделайте лог снова

  14. #13
    Junior Member Репутация
    Регистрация
    25.08.2010
    Сообщений
    10
    Вес репутации
    50
    и вот что получилось у MBAM после перезагрузки:

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    удалите все найденное в MBAM, лог повторите

  16. #15
    Junior Member Репутация
    Регистрация
    25.08.2010
    Сообщений
    10
    Вес репутации
    50
    Вот что теперь говорит MBAM...
    Удалить, перезагрузиться и снова просканировать?

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\m[1].exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\381.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\333.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\594.exe','');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\m[1].exe');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\381.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\333.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\594.exe');
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\704.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\704.exe');
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\ff[1].exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\ff[1].exe');
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\ff[1].exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\ff[1].exe');
     QuarantineFile('C:\WINDOWS\system32\06.exe','');
     DeleteFile('C:\WINDOWS\system32\06.exe');
     QuarantineFile('C:\WINDOWS\system32\14.exe','');
     DeleteFile('C:\WINDOWS\system32\14.exe');
     QuarantineFile('C:\WINDOWS\system32\21.exe','');
     DeleteFile('C:\WINDOWS\system32\21.exe');
     QuarantineFile('C:\WINDOWS\system32\32.exe','');
     DeleteFile('C:\WINDOWS\system32\32.exe');
     QuarantineFile('C:\WINDOWS\system32\35.exe','');
     DeleteFile('C:\WINDOWS\system32\35.exe');
     QuarantineFile('C:\WINDOWS\system32\40.exe','');
     DeleteFile('C:\WINDOWS\system32\40.exe');
     QuarantineFile('C:\WINDOWS\system32\43.exe','');
     DeleteFile('C:\WINDOWS\system32\43.exe');
     QuarantineFile('C:\WINDOWS\system32\64.exe','');
     DeleteFile('C:\WINDOWS\system32\64.exe');
     QuarantineFile('C:\WINDOWS\system32\77.exe','');
     DeleteFile('C:\WINDOWS\system32\77.exe');
     QuarantineFile('C:\WINDOWS\system32\80.exe','');
     DeleteFile('C:\WINDOWS\system32\80.exe');
     QuarantineFile('C:\WINDOWS\system32\82.exe','');
     DeleteFile('C:\WINDOWS\system32\82.exe');
     BC_ImportAll;
     ExecuteSysClean;
     DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - перезагрузитесь
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте повторный логMBAM

  18. #17
    Junior Member Репутация
    Регистрация
    25.08.2010
    Сообщений
    10
    Вес репутации
    50
    Логи прилагаются. Спасибо.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\33.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте лог MBAM

  20. #19
    Junior Member Репутация
    Регистрация
    25.08.2010
    Сообщений
    10
    Вес репутации
    50
    Спасибо!
    Инструкции выполнил. Лог MBAM наконец-то выглядит красиво
    Кажется, благодаря вашей помощи удалось-таки вытравить этих гадов!

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Лог в порядке
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) rotbart, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 21
      Последнее сообщение: 10.09.2010, 22:16
    2. Зараза msvmiode.exe, syscache.exe, cfdrive32.exe
      От Flange в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 03.09.2010, 17:56
    3. syscache.exe, cfdrive32.exe,msvmiode.exe
      От Denis83 в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 27.08.2010, 18:02
    4. syscache.exe, cfdrive32.exe,msvmiode.exe
      От BalenS в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.08.2010, 14:46
    5. cfdrive32.exe; msvmiode.exe; syscache.exe (заявка №27850)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 22.08.2010, 00:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01084 seconds with 19 queries