-
Junior Member
- Вес репутации
- 50
msvmiode.exe. Что делать?
Как избавиться от этой пакости? Восстановление винды из образа помогает ровно до того момента, пока не лезешь в инет. Потом опять этот msvmiode.exe поселяется в папке system32 и в автозагрузке и при подключении к интернету начинает ругаться нод, на приложения, пытающиеся лезть куда-то в интернет (например, Адрес заблокирован , адрес Url " 208.53.183.124/ms5.exe"ip-адрес 208. 53.183.124:80") , он блокирует их, также в папке temp появляются файлы с названиями типа 1809.exe . Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\42.exe','');
QuarantineFile('C:\WINDOWS\system32\27.exe','');
QuarantineFile('C:\WINDOWS\system32\11.exe','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\43.exe','');
QuarantineFile('C:\WINDOWS\system32\41.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\53.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8614649135-3116052601-032478533-1438\syscr.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8614649135-3116052601-032478533-1438\syscr.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Отправила карантин и сделала новые логи.
-
Удалите в МВАМ
Код:
Зараженные файлы:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0Z7KUJO0\p[1].exe (Worm.Autorun) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7D94MQ3N\p[1].exe (Worm.Autorun) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\B1K1D3GP\p[1].exe (Worm.Autorun) -> No action taken.
C:\RECYCLER\S-1-5-21-8614649135-3116052601-032478533-1438\syscr.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\08.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\10.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\17.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\30.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\34.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\40.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\47.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\51.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\52.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\58.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\63.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\65.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\66.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\71.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\74.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\80.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\83.exe (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\88.exe (Worm.Autorun) -> No action taken.
E:\System Volume Information\_restore{45DBBB09-B66A-4A62-908C-D2EE7A820073}\RP25\A0009875.exe (Adware.Cydoor) -> No action taken.
E:\System Volume Information\_restore{45DBBB09-B66A-4A62-908C-D2EE7A820073}\RP25\A0009886.exe (Trojan.Downloader) -> No action taken.
E:\System Volume Information\_restore{45DBBB09-B66A-4A62-908C-D2EE7A820073}\RP25\A0009896.exe (Trojan.KillAV) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Удалила. Лог после удаления не сохранился.. Я сделала новое сканирование MBAM...
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
thyrex
Проблема решена?
вроде да.. Спасибо.
-
Junior Member
- Вес репутации
- 50
Извиняюсь, но посмотрите ещё раз логи плиззз, так как вроде вирусов не замечаю, но комп стал жутко тормозить , загрузка ЦП часто бывает 50-100%
-
Ничего необычного
Обновления, вышедшие после SP3, все установлены? Если нет, то установите
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Всё установила, все обновления, но сегодня опять поймала тот же самый вирус.. Логи прилагаю.
-
Ничего необычного в логах нет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 35
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\ltzqai.exe - Trojan.Win32.Agent2.lop ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\04.exe - P2P-Worm.Win32.Palevo.auvn ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\07.exe - P2P-Worm.Win32.Palevo.auvn ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\11.exe - P2P-Worm.Win32.Palevo.auvn ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\21.exe - P2P-Worm.Win32.Palevo.auvn ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\27.exe - P2P-Worm.Win32.Palevo.auvn ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\41.exe - P2P-Worm.Win32.Palevo.auvn ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\42.exe - P2P-Worm.Win32.Palevo.auvn ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\43.exe - P2P-Worm.Win32.Palevo.auvo ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Bredolab.CZ, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\53.exe - P2P-Worm.Win32.Palevo.auvn ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\86.exe - P2P-Worm.Win32.Palevo.auvn ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Gen:Variant.Rimecud.3, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
-