-
Junior Member
- Вес репутации
- 50
msvimoide, cfdrive32.exe, vbsntlo.exe, psyjo32, проблемы
Заметил тормоза при работе любой программы/загрузки-выгрузки ОС/игр и т.п. В msconfig/автозагрузка стоят галочки на msvmoide.exe, cfdrive32.exe, vsbntlo.exe, psejo32.exe(при снятии галочек, они ставятся обратно при след. загрузки ОС). В папке temp зачастую появляются файлы типа 9024.ехе и т.п. В диске С:/ два файла постоянно появляются (даже если удалять) booter.exe и DelInfo.bin. В папке Program Files постоянно появляются файлы типа: Sunflower.ime и т.д. Некоторые .ехе-шники программ невозможно удалить из-за "отказано в доступе/программа используется". В диспетчере задач заметил данное: файлы типа 725.ехе, cfdrive32.exe, msvmiode.exe, ->oodag.exe <- (не пойму вирус ли это или ещё что) Антивирус(AVP Tool) ничего не может сделать с этими файлами. В безопасный режим зайти никак ни со скриптом для AVZ ни через экран загрузки( F8 ), компьютер попросту перезагружается. Помогите пожалуйста, уже работать не могу нормально!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Диск J: - съемный?
Оставьте его подключенным до конца лечения.
Пофиксите в HijackThis:
Код:
R3 - Default URLSearchHook is missing
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.8.1\bh\facemoods.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.8.1\facemoodsTlbr.dll (file missing)
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKCU\..\Run: [psysjo32] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
O4 - Startup: setup_9.0.0.722_02.10.2010_12-32.lnk = ?
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5164615452-6983432227-362050248-9037\syscr.exe','');
QuarantineFile('C:\WINDOWS\system32\MSIMG32.dll','');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
QuarantineFile('c:\windows\cfdrive32.exe','');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5164615452-6983432227-362050248-9037\syscr.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('J:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_DeleteSvc('FindXplorer Service');
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{62D24E13-5CCE-4FA3-852D-1C6B7B538971}');
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=89160).
Поставьте правильную системную дату.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Здравствуйте, Bratez.
Да, Диск J: - съемный. Оставил.
Исправил строчки в HijackThis
Выполнил скрипт в AVZ
Карантин отправил.
Вот новые логи.
И ещё вот: Ваш сайт недоступен если набрать в любом браузере его адрес. Попасть можно только через 216.246.90.119. Не знаю, Ваша ли это проблема или вирус в действии(пару часов назад этого не было).
-
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\doeptv.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-5164615452-6983432227-362050248-9037\syscr.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('J:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\02.exe');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('boxifzj');
BC_ServiceKill('tksjpspj');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscure (п.1 Диагностики).
Ставьте SP3 и последующие обновления, иначе все это ненадолго.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Последний раз редактировалось manhunt6969; 02.10.2010 в 20:02.
-
Опять все на месте!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5164615452-6983432227-362050248-9037\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5781055032-5660991954-620965811-4569\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\system32\doeptv.dll');
DeleteFileMask('c:\docume~1\admin\locals~1\temp', '*.*',true);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscure.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Да, всё правильно. Было хорошо потом всё стало обратно. В любом случае, полное форматирование диска С:/ и установка SP3(и обновления) решит проблему?
-
Значит, откуда-то снова заносите их... Форматирование это хорошо, но тоже не панацея. Заразить можно и свежую систему с обновлениями. Антивирус вам нужно поставить толковый.
Давайте попробуем еще разок.
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-5781055032-5660991954-620965811-4569\syscr.exe');
DeleteFile('C:\Program Files\Internet Explorer\doeptv.dll');
DeleteFile('J:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('hygqi');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите лог syscure.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\02.exe - P2P-Worm.Win32.Palevo.awke ( DrWEB: Trojan.Inject.10855, BitDefender: Trojan.Generic.5022011, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- j:\\autorun.inf - Net-Worm.Win32.Kido.ir ( DrWEB: Win32.HLLW.Shadow, BitDefender: Worm.Autorun.VHG, AVAST4: BV:AutoRun-S [Wrm] )
-