Cfdrive32.exe и msvmiode.exe

**ArchitectofRuin** · 18.09.2010, 19:37

Здравствуйте, уважаемые хелперы. Вчера, казалось бы проблема ушла. Но сегодня утром при включении комп-ра в списке процессов PExplorer вновь заметил вышеуказанные процессы. Проверил комп-р cвежим CureIt! от Dr.Web (при макс. параметрах обнаружения) в безопасном режиме, обнаружил 3 одинаковых вируса на системном диске: Trojan.Spambot.9106. Наряду с этим, проверял еще и программой AVpTool, тоже находил 1-2 вируса. Насколько я понимаю, эти звери восстанавливаются после ребута комп-ра. В процессе проверки AVPTool при лечении активных угроз выплюнул такое сообщение: C:\Windows\system32\winhttp.exe не является образом программы для Windows NT. Проверьте назначение установленного диска. А также иногда вылезает ошибка Generic Host Process ( ошибка с отправление отчета). Ниже прилагаю логи исследования и скриншот процессов с этой нечистью.
Заранее огромные благодарности.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Никита Соловьев** · 18.09.2010, 20:23

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\??.exe','');
 QuarantineFile('C:\WINDOWS\system32\16.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
 QuarantineFile('C:\Documents and Settings\KaLeiDoskope\Application Data\ltzqai.exe','');
 DeleteFile('C:\Documents and Settings\KaLeiDoskope\Application Data\ltzqai.exe');
 DeleteFile('C:\WINDOWS\cfdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новые логи

Сделайте лог GMER

**ArchitectofRuin** · 18.09.2010, 23:29

Файл карантина выслал. Логи сделал, прикрепил ниже. Также подкрепляю скриншот ошибки Generic Host Process.

**Никита Соловьев** · 18.09.2010, 23:34

Удалите всё, что нашёл МВАМ. Сделайте новый лог МВАМ

Лог GMER переделайте заново

**ArchitectofRuin** · 19.09.2010, 02:40

Провел полное сканирование обновленным MBAM. Удалил в MBAM зараженные данные. После чего сделал лог MBAM и лог GMER. Ниже подкрепляю.

**ArchitectofRuin** · 19.09.2010, 03:44

После этих логов перезагрузился и провел еще одно полное сканирование MBAM + сканирование по сист. диску C свежим CureIt! Прикрепляю лог MBAM и скриншот Cure It!

**olejah** · 19.09.2010, 08:39

Лог чистый.

**Никита Соловьев** · 19.09.2010, 12:23

Сделайте лог ComboFix

**ArchitectofRuin** · 19.09.2010, 14:56

Сейчас займусь созданием лога ComboFix. Msvmiode.exe и cfdrive32.exe не наблюдаю, что к счастью. За это отдельное спасибо. Вот только теперь мучают win32.hllw.shadow.based, который поражает компьютер 1-2 раза на 4-6 перезагрузок.

**ArchitectofRuin** · 19.09.2010, 15:29

Лог сделал, прикрепил ниже.

**ArchitectofRuin** · 19.09.2010, 16:00

И вот очередной лог полного сканирования MBAM:

Помогите, пожалуйста.
Заранее благодарен!

**Никита Соловьев** · 19.09.2010, 16:08

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::


Folder::


Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5170:TCP"=-

NetSvc::
xggaci
dxzowdt
wxplabyn
scsulatu
gghlow
vtdytk
giarkp
jtxbp
wdoxito
haevn

Driver::
xggaci
dxzowdt
wxplabyn
scsulatu
gghlow
vtdytk
giarkp
jtxbp
wdoxito
haevn

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Файл c:\windows\system32\sfcfiles.dll пришлите по правилам

**ArchitectofRuin** · 19.09.2010, 17:35

а где правила отправки файла можно посмотреть?

**polword** · 19.09.2010, 17:41

Пришлите файл запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

**ArchitectofRuin** · 19.09.2010, 18:04

Лог ComboFix прикрепил, файл отправил.

**ArchitectofRuin** · 19.09.2010, 18:42

Вот еще раз осуществил полное сканирование MBAM. Прилагаю лог и скриншот

**ArchitectofRuin** · 19.09.2010, 21:34

Мне помогите кто-нибудь их хелперов...

**olejah** · 19.09.2010, 21:36

Проверьтесь так - http://support.kaspersky.ru/faq?qid=208636215

**CyberHelper** · 20.09.2010, 21:36

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\kaleidoskope\\application data\\ltzqai.exe - Trojan.Win32.Jorik.Tedroo.j ( DrWEB: Trojan.DownLoader1.22089, BitDefender: Trojan.Generic.4781191, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Inject-AII [Trj] )
2. c:\\windows\\cfdrive32.exe - Trojan.Win32.Jorik.SdBot.cr ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.128174, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-AII [Trj] )
3. c:\\windows\\system32\\msvmiode.exe - Trojan.Win32.Scar.cuqm ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4997527, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Trojan-gen )
4. c:\\windows\\system32\\16.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
5. c:\\windows\\system32\\53.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
6. c:\\windows\\system32\\55.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
7. c:\\windows\\system32\\78.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
8. c:\\windows\\system32\\81.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
9. c:\\windows\\system32\\87.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )

Cfdrive32.exe и msvmiode.exe (заявка № 88203)

Опции темы

Cfdrive32.exe и msvmiode.exe

Итог лечения

Похожие темы

Msvmiode и cfdrive32.exe

msvmiode и cfdrive32

Msvmiode.exe и cfdrive32.exe

cfdrive32, msvmiode

Msvmiode.exe и Cfdrive32.exe

Ваши права в разделе