Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

И снова msvmiode, помогите избавиться (заявка № 88295)

  1. #1
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50

    Done И снова msvmiode, помогите избавиться

    дня три назад нарисовалась такая проблемка, при соединеннии с интернетом после некоторого времени всё становится насмерть. Опера пишет ошибка внутренней связи и прочее в этом же духе. Хотя обмен идёт и трафик присутствует. С помощью An Vir Task Manager удалось вычислить вредителя, но вот убить самостоятельно так и не смог, даже пелопатив весь форум всё таки понял, что без вашей помощи никак. Вот логи AVZ и Hijak

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Сергей\Application Data\xcjv.exe','');
     QuarantineFile('C:\WINDOWS\system32\33.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3045187824-1363108943-489363156-8985\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-3045187824-1363108943-489363156-8985\syscr.exe');
     DeleteFile('C:\Documents and Settings\Сергей\Application Data\xcjv.exe');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\33.exe');
     DeleteFile('C:\Documents and Settings\Сергей\Application Data\ltzqai.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50
    Спасибо после выполнения скриптов зловреды пока пропали, но есть вопрос, а не попали они на флешку, пока компьютер болел, флешка в нём присутствовала, сейчас пока на столе лежит, но когдато и снова в комп попадёт. Нужен совет как полечить её не заразившись снова. И вот запрошенные логи.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    если на флешке нет нужной информации её можно отформатировать просто...
    Если есть - сделайте логи MBAM и virusinfo_syscure.zip со вставленной флешкой.

  6. #5
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50
    дело в том что есть такая инфа, не успел вовремя скинуть. Проверил AVZ Hijack, вроде ничего не находят, но не уверен, вот логи MBAM и AVZ

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Чисто.

    Выполните процедуру, описанную здесь

    Установите SP3, IE8 + все критические обновления.

  8. #7
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50
    Всё проблему можно считать закрытой. Большое спасибо всем за помощь.

  9. #8
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50
    Я прошу прощения, но стоило только успокоиться и всё началось снова. Видно сильно поторопился с выводами. выкладываю логи снова, правда после проверки Hijack ом я самостоятельно пофиксил те строки где эти гады упоминались, может ненадо было, но разозлился сильно. В общем на ваше обозрение всё что у меня творится

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Сделайте лог ComboFix

  11. #10
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50
    Вот лог combofix

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Замените файл c:\windows\system32\msgsvc.dll на чистый из дистрибутива.

    - Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    Ignore:: C:\WINDOWS\system32\drivers\afd.sys
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    ----------------------------------------------------------------------------------------------
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\msvmiode.exe
    c:\windows\cfdrive32.exe
    
    Driver::
    
    NetSvc::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  13. #12
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50
    Долго возился с заменой dll. Никак не получалось, после небольшого шаманского танца, всё же уговорил. Вот новый лог Combofix.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Что с проблемой?

  15. #14
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50
    Не хочу снова оказаться болтуном, но пока в процессах ничего подозрительного не вижу, хотя в прошлый раз тоже так случилось, вылезли то они только на другой день. Поэтому пока подожду рапортовать об успехах, пуганая ворона она...
    Да и ещё теперьс другими проблемками надо разобраться, после лечения пропала языковая панель, гдето я здесь уже встречал подобную проблемку, решается в принципе, и ещё USB модем с пом которого инет работает стал нечётко подключаться, т.е. подключение как бы происходит, но обмен не идёт, после перезагрузки компьютера, всё вроде восстанавливается и на сессию всё работает. Возможно в ходе лечения какието дрова покосились или ещё чего, пока ещё не понял.

  16. #15

  17. #16
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50
    Combofix удалил, но проблемы это не решило, надо копать дальше, я здесь гдето читал что какой-то процесс может быть не запущен, сразу ненадо было атеперь найти возможно проблематично будет. буду искать

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Обычно помогает вернуть панель ручной запуск процесса CTFMON.EXE (исполняемый файл находится в папке System32)

  19. #18
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50
    Да, помогло, спасибо, ещё проблемка нужно удалить Agnitum, но при попытке открыть через панель управления установка и удаление программ список программ, комп долго думает, но окошко остается девственно чистым, никаких попыток что-то там отобразить не происходит. В общем-то можно воспользоваться программой от стороннего производителя, но всё таки хочется поправить свои покосившиеся окошки.

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Иногда такое бывает... Попробуйте подождать

  21. #20
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    13
    Вес репутации
    50
    в общем так пока и поступлю, тем более пока лечился поднакопилось работёнки, нужно подразгрестись

  • Уважаемый(ая) split, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите с лечением msvmiode.exe
      От jokerlis в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.01.2011, 12:50
    2. Ответов: 10
      Последнее сообщение: 28.12.2010, 22:54
    3. Ответов: 7
      Последнее сообщение: 15.12.2010, 01:55
    4. Ответов: 5
      Последнее сообщение: 18.10.2010, 17:05
    5. Ответов: 26
      Последнее сообщение: 02.10.2010, 02:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01103 seconds with 19 queries