-
Junior Member
- Вес репутации
- 50
msvmiode.exe этот процесс пытается выйти в интернет
Здраствуйте! помогите пожалуйста. При каждом входе в интернет мой фаерволл Outpost 7.0 выдает что процесс msvmiode.exe пытается изменить критические параметры explorer.exe. сами процессы которые выдает фаервол названы цифрами: 924706.exe; другие два забыл записать и больше они не появляются . Это и вызвало подозрения. Ко всем этим процессам применяю блокировать и завершить. Но каждый раз они вылазиют снова и снова.Набрал в поисковике выдал вирус. Вот обращаюсь к вам за помощью. Помогите вывести эту малварь. Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\2662a732.exe,C:\WINDOWS\system32\ujvuke.exe,
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\2662a732.exe','');
QuarantineFile('C:\WINDOWS\system32\ujvuke.exe','');
QuarantineFile('C:\Documents and Settings\Евгений.20225561A6C34C7\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\Documents and Settings\Евгений.20225561A6C34C7\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\ujvuke.exe');
DeleteFile('C:\WINDOWS\system32\2662a732.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
QuarantineFile('C:\RECYCLER\S-1-5-21-5734330187-2047576655-345382092-6999\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5734330187-2047576655-345382092-6999\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
сделал все как написали
День добрый. Все сделал. Только до этого еще вчера не дождавшись ответа скачал антивирусную утилиту касперского и проверил ей. Он нашел 29 угроз. также для лечения использовал Unhackme. наверное это могло повлиять на результаты выполнения вашего скрипта. Если чем навредил простите.
-
-
-
Junior Member
- Вес репутации
- 50
Спасибо огромное сейчас все вроде норм
Спасибо огромное Все восстановилось. Но после лечения запускался один подозрительный процесс я его в трэе увидел в правом углу экрана. рабтал оутлук в свернутом режиме шло активное обращение к винту, хотя никаких программ не было запущено а система полностью загрузилась.. навел на него курсор выдал, что идет сбор информации, я этот процесс отменил, больше его не видел.Сам оутлук у меня установлен но не настроен и я его не разу не запускал с момента установки системы. из автозапуска тоже его удалил при установке системы. И еще если не трудно дайте совет. Нужно ли после этой гадости менять пароли на интернет сайтах? когда лазию по сайтам никогда не сохраняю пароль.
-
Пароли сменить не помешает. Понаблюдайте за компьютером, пока не будем ставить "Излечено", эти злыдни так просто обычно не уходят.
-
-
Junior Member
- Вес репутации
- 50
Спасибо. Понял буду следить
Добавлено через 2 часа 19 минут
интернет виснет. при каждой загрузке и обновлении страницы браузер задумывается будто. открыл фаервол в сетевой активности был процесс svchost.exe в этом процессе использовалось 4 ппорта два из них имели удаленный адрес looser.sell.ru. может я зря паникую? но название чет насторожило
Последний раз редактировалось evge; 16.09.2010 в 21:59.
Причина: Добавлено
-
Для Скайлинка говорят это нормально.
-
-
Junior Member
- Вес репутации
- 50
извините за назоиливость я тока учусь бороться с этой бякой
вот што выглядел из фаервола:
процесс <SYSTEM>
протокол IP
локальный адрес local:any
локальный порт n/a
и еще вот про который я уже писал:
процесс SVCHOST.EXE
протокол UDP удаленный адрес looser.cell.ru
удаленный порт DNS
Generic Host Process
если локальный порт не известен есть вероятность што он какойто подозрительный?
-
Junior Member
- Вес репутации
- 50
наблюдал три дня :)
наблюдал три дня вроде все нормально. фаервол молчит , антивирусы тоже. Спасибо за помощь
-
- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
-