Здравствуйте.
одолели вирусы. Начала делать как сказано в правилах, пролечила cureit`ом, при загрузке опять в диспетчере задач процессы выполняются. У меня athlon 64, т.е. AMZ использовать нельзя? тогда чем их убить? заранее спасибо.
msvmiode и cfdrive32
Здравствуйте.
одолели вирусы. Начала делать как сказано в правилах, пролечила cureit`ом, при загрузке опять в диспетчере задач процессы выполняются. У меня athlon 64, т.е. AMZ использовать нельзя? тогда чем их убить? заранее спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
вот
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\RECYCLER\S-1-5-21-0606752920-7947539711-938576804-1220\syscr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0606752920-7947539711-938576804-1220\syscr.exe'); QuarantineFile('C:\Documents and Settings\Логин1\Application Data\ltzqai.exe',''); QuarantineFile('C:\WINDOWS\system32\qmgr.dll',''); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); QuarantineFile('C:\WINDOWS\system32\78.exe',''); QuarantineFile('C:\WINDOWS\system32\57.exe',''); QuarantineFile('C:\WINDOWS\cfdrive32.exe',''); DeleteFile('C:\WINDOWS\cfdrive32.exe'); DeleteFile('C:\WINDOWS\system32\57.exe'); DeleteFile('C:\WINDOWS\system32\78.exe'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); DeleteFile('C:\Documents and Settings\Логин1\Application Data\ltzqai.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог МВАМ
лог
Удалите в МВАМ -
- Повторите лог МВАМКод:Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Trojan.FakeAlert.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken. Зараженные папки: C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\drivers\29714311.sys (Rootkit.Agent.H) -> No action taken. C:\WINDOWS\system32\msvmiode.exe (Trojan.FakeAlert.H) -> No action taken. C:\RECYCLER\S-1-5-21-2325733930-0176965897-621223925-0603\syscr.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-9722764257-2757804999-082504217-4267\syscr.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken. C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
лог
Удалите в МВАМ -
- Больше ничего плохогоКод:Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-5078764964-8020413141-184786714-6868\syscr.exe,explorer.exe,C:\Documents and Settings\Логин1\Application Data\ltzqai.exe,Explorer.exe) Good: (Explorer.exe) -> Not selected for removal.
- Что с проблемой?
Перезагрузилась, в автозагрузке их нет и в процессах нет. Спасибо.
Понаблюдайте за системой, обычно они не уходят так просто.
Рекомендуется обновить Internet Explorer v6.00(даже если Вы им не пользуетесь)
Вы правы, они не уходят так просто...
Прописались в автозагрузку, и теперь в диспетчере время от времени появляются и пропадают процессы типа 80.exe, 68.exe, и другие. А еще avast блокирует исходящие запросы от explorer.exe. Вот так вот. Опять cureit.
Лучше здравствуй ComboFixСообщение от Лера
Combofix
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: C:\WINDOWS\cfdrive32.exe C:\WINDOWS\system32\20.exe C:\WINDOWS\system32\48.exe C:\WINDOWS\system32\82.exe C:\WINDOWS\system32\msvmiode.exe C:\WINDOWS\NV3912336.TMP C:\WINDOWS\nsreg.dat Driver:: NetSvc:: Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
выполнила
Умерли или продолжают воскрешаться?
понаблюдала... опять началось.
Установите Internet Explorer 8, сделайте новый комплект логов
сделала
Скажите пожалуйста, почему Вы не отключили восстановление системы, ведь была рекомендация? Отключите пожалуйста, иначе мы Вас до пенсии лечить будем.Восстановление системы: включено
Уважаемый(ая) Лера, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
