Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Cfdrive32.exe, msvmiode.exe, umdmgr.exe, widrive32.exe (заявка № 89788)

  1. #1
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    22
    Вес репутации
    50

    Cfdrive32.exe, msvmiode.exe, umdmgr.exe, widrive32.exe

    Добрый день. Выполнял обновление системы, файлы были взяты из свободных источников, после процедуры обновления начал тормозить интернет, в диспетчере появились процессы Cfdrive32.exe, msvmiode.exe, позднее появлялись еще процессы. Так же постоянно пытается соединиться с cooleasy.com, попытки блокируются NOD32. При вырубании процессов через диспетчер интернет работает нормально, но через некоторое время они появляются снова. Пожалуйста, помогите, логи прилагаю.
    С уважением.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
      QuarantineFile('C:\WINDOWS\system32\33.exe','');
     QuarantineFile('C:\WINDOWS\system32\16.exe','');
     QuarantineFile('C:\WINDOWS\system32\64.exe','');
     QuarantineFile('C:\WINDOWS\system32\57.exe','');
     QuarantineFile('C:\WINDOWS\system32\53.exe','');
     QuarantineFile('C:\Documents and Settings\Костя\Application Data\ltzqai.exe','');
     QuarantineFile('C:\DDR\Setup.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\WINDOWS\system32\21.exe','');
     QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
     QuarantineFile('C:\WINDOWS\dagxcjd.exe','');
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-2252849960-9630373137-134391003-8260\mcssc.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('C:\Documents and Settings\Костя\Application Data\erhfdgc.exe','');
     QuarantineFile('C:\Documents and Settings\Костя\Application Data\aqvtd.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\fsbanku.exe','');
     DeleteService('msupdate');
     QuarantineFile('c:\windows\system32\..\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\fci.exe','');
     DeleteService('FCI');
     QuarantineFile('c:\windows\system32\msvmiode.exe','');
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');
     QuarantineFile('c:\windows\cfdrive32.exe','');
     TerminateProcessByName('c:\windows\cfdrive32.exe');
     DeleteFile('c:\windows\cfdrive32.exe');
     DeleteFile('c:\windows\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\fci.exe');
     DeleteFile('C:\Documents and Settings\NetworkService\Application Data\fsbanku.exe');
     DeleteFile('C:\Documents and Settings\Костя\Application Data\aqvtd.exe');
     DeleteFile('C:\Documents and Settings\Костя\Application Data\erhfdgc.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsg');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsgs');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
     DeleteFile('C:\RECYCLER\S-1-5-21-2252849960-9630373137-134391003-8260\mcssc.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\dagxcjd.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Driversys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
     DeleteFile('C:\WINDOWS\jjdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\21.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     DeleteFile('C:\DDR\Setup.exe');
     DeleteFile('C:\Documents and Settings\Костя\Application Data\ltzqai.exe');
     DeleteFile('C:\WINDOWS\system32\53.exe');
     DeleteFile('C:\WINDOWS\system32\14.exe');
     DeleteFile('C:\WINDOWS\system32\57.exe');
     DeleteFile('C:\WINDOWS\system32\64.exe');
     DeleteFile('C:\WINDOWS\system32\87.exe');
     DeleteFile('C:\WINDOWS\system32\16.exe');
     DeleteFile('C:\WINDOWS\system32\33.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-2252849960-9630373137-134391003-8260\mcssc.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0600213486-3156639385-031483174-6925\syscr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8780970170-8562002554-418091316-6575\mcssc.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-6392323421-8228005788-180496471-6005\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-2252849960-9630373137-134391003-8260\mcssc.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0600213486-3156639385-031483174-6925\syscr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-8780970170-8562002554-418091316-6575\mcssc.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-6392323421-8228005788-180496471-6005\syscr.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-5341969240-5139669803-380221537-2430\mcssc.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-6361562108-5647609225-658635548-2429\syscr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3595990144-2476808425-498890411-2478\syscr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4810676872-4487900073-109253144-2124\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-5341969240-5139669803-380221537-2430\mcssc.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-6361562108-5647609225-658635548-2429\syscr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3595990144-2476808425-498890411-2478\syscr.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4810676872-4487900073-109253144-2124\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-4810676872-4487900073-109253144-2124\syscr.exe');
      QuarantineFile('C:\RECYCLER\S-1-5-21-4810676872-4487900073-109253144-2124\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-4810676872-4487900073-109253144-2124\syscr.exe');
     QuarantineFile('C:\Documents and Settings\Костя\Application Data\ltzqai.exe','');
     DeleteFile('C:\Documents and Settings\Костя\Application Data\ltzqai.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-6676555271-9619383420-792318266-2151\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-6676555271-9619383420-792318266-2151\syscr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    22
    Вес репутации
    50
    Готово

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vga (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vga (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\969 (Backdoor.IRCBot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\954 (Backdoor.IRCBot) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\Костя\Application Data\ltzqai.exe,C:\DOCUME~1\КОСТЯ\LOCALS~1\Temp\168.exe,C:\RECYCLER\S-1-5-21-2308083181-7875429958-281447803-7032\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3037806517-8521338584-488627304-1014\mcssc.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
    
    
    Зараженные файлы:
    C:\RECYCLER\S-1-5-21-2308083181-7875429958-281447803-7032\syscr.exe (Worm.Autorun.B) -> No action taken.
    C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken.
    C:\WINDOWS\dialerexe.ini (Adware.EGDAccess) -> No action taken.
    C:\RECYCLER\S-1-5-21-3037806517-8521338584-488627304-1014\mcssc.exe (Trojan.Agent) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('c:\windows\system32\umdmgr.exe','');
     TerminateProcessByName('c:\windows\system32\umdmgr.exe');
     DeleteFile('c:\windows\system32\umdmgr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','969');
     DeleteFile('C:\WINDOWS\system32\43.exe');
     DeleteFile('C:\WINDOWS\system32\15.exe');
     DeleteFile('C:\WINDOWS\system32\25.exe');
     DeleteFile('C:\WINDOWS\system32\04.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по MBAM и virusinfo_syscheck.zip;

  6. #5
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    22
    Вес репутации
    50
    Прошу прощения за тормозные ответы. Логи прилагаю. Проблема сохраняется, за исключением того, что не пробует уже соединяться с cooleasy.com. В диспетчере процессы так же висят. В интернет не пускают.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.удалите в MBAM
    Код:
    Зараженные процессы в памяти:
    C:\WINDOWS\system32\umdmgr.exe (Backdoor.IRCBot) -> No action taken.
    
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vga (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vga (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\430 (Backdoor.IRCBot) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\Костя\Application Data\ltzqai.exe,C:\RECYCLER\S-1-5-21-5959989891-7382606305-905487547-2206\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-4468350370-6331828033-228151658-1743\mcssc.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
    
    
    Зараженные файлы:
    C:\RECYCLER\S-1-5-21-5959989891-7382606305-905487547-2206\syscr.exe (Worm.Autorun.B) -> No action taken.
    C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken.
    C:\RECYCLER\S-1-5-21-4468350370-6331828033-228151658-1743\mcssc.exe (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\umdmgr.exe (Backdoor.IRCBot) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      DeleteFile('C:\WINDOWS\system32\36.exe');
     DeleteFile('C:\WINDOWS\system32\26.exe');
     DeleteFile('C:\WINDOWS\system32\77.exe');
     DeleteFile('C:\WINDOWS\system32\55.exe');
     DeleteFile('C:\WINDOWS\system32\86.exe');
     DeleteFile('C:\WINDOWS\system32\24.exe');
     DeleteFile('C:\WINDOWS\system32\27.exe');
     DeleteFile('C:\WINDOWS\system32\32.exe');
     DeleteFile('C:\WINDOWS\system32\42.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте лог MBAM

  8. #7
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    22
    Вес репутации
    50
    Готово. Живучая зараза, проверил через msconfig, все эти файлы стоят в автозапуске, отрубил их там, но они снова появляются через две-три перезагрузки.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - сделайте лог Combofix

  10. #9
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    22
    Вес репутации
    50
    Есть. Проверил в диспетчере - cfdrive32 и msvmiode так же присутствуют... Апдейт: уже после выкладывания лога combofix обнаружил, что делал его с включенным восстановлением системы. Отключил, сделал combofix еще раз, после окончания вылез синий экран, система перезагрузилась и сделала ScanChek. Какое-то время ни в диспетчере, ни в msconfig заразы не было, а потом снова появились...
    Последний раз редактировалось Shagakak; 19.10.2010 в 20:58.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\vyre32.exe
    c:\documents and settings\Костя\Application Data\ltzqai.exe
    c:\recycler\S-1-5-21-8693029412-6888487467-806912693-2766\syscr.exe
    c:\DOCUME~1\КОСТЯ\LOCALS~1\Temp\7858.exe
    c:\windows\oxcswqc.exe
    c:\documents and settings\Костя\Application Data\icddeoh.exe
    
    Driver::
    
    NetSvc::
    
    Folder::
    
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "vyre32"=-
    "Microsoft Driver Setup"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
    "Microsoft Driver Setup"=-
    [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
    "Shell"="explorer.exe"
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Taskman"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    22
    Вес репутации
    50
    Готово

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Пришлите файл c:\windows\system32\userinit.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

  14. #13
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    22
    Вес репутации
    50
    Выслал

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\msvmiode.exe
    c:\windows\cfdrive32.exe
    
    Driver::
    
    NetSvc::
    
    Folder::
    C:\FOUND.001
    C:\FOUND.002
    C:\FOUND.003
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  16. #15
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    22
    Вес репутации
    50
    Готово

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Теперь еще раз ComboFix + MBAM
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    22
    Вес репутации
    50
    Логи. Систему обновил с SP2 до preSP4 конца октября.

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что сейчас с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    22
    Вес репутации
    50
    Понаблюдал 3 дня, пока все чисто. Спасибо за помощь!

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Shagakak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Msvmiode и cfdrive32.exe
      От BiZed в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 26.11.2010, 00:08
    2. widrive32.exe, cfdrive32.exe, umdmgr.exe, msvmiode.exe..
      От geschopf в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 04.11.2010, 16:59
    3. msvmiode и cfdrive32
      От Лера в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 24.09.2010, 06:43
    4. cfdrive32, msvmiode
      От Flange в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 09.09.2010, 10:40
    5. cfdrive32, msvmiode
      От poganka_ua в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 04.09.2010, 00:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01280 seconds with 19 queries