-
Junior Member
- Вес репутации
- 50
не могу избавиться от процесса msvmiod.exe
Где-то неделю назад начались проблемы с виндой - долгая загрузка(минут по 10-15),после загрузки Касперски грузился еще минут 5, в это время не работало ничего, иногда не работал диспетчер задач, интернет слетал, тогда стоял антивирус Касперского, поставив NOD32 обновиви базы, ношло на чтот-то около 500 вирусов в основном трояны после перезагрузки сситема слетела( а да, среди процессов был msvmiod.exe остальные не помню загрузил другую винду, она выдержала несколько дней,после чего форматнул два логичемких раздела, на которых стояли системы, диск с прочими файлами оставил. поставив новую ось получил тот же msvmiod.exe и ***drive32.exe , а так же запускашлись процессы "несколько цифр".exe. Нод при проверки находит пару троянов и все, msvmiod остается нетронутым. Помогите как убрать эту гадость с компа.
Сейчас пока не уберешь эти процессы через диспетчер интернет грузит ничего, просто висит, прочего не наблюдал
Последний раз редактировалось Никита Соловьев; 17.10.2010 в 12:47.
Причина: Карантин опять...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%SYSTEM32%\??.EXE','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8594088041-1551204931-365527071-3157\syscr.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8594088041-1551204931-365527071-3157\syscr.exe,C:\RECYCLER\S-1-5-21-7690355588-9944968446-828345362-6461\syscr.exe,explorer.exe,C:\Documents and Settings\Shinigami\Application Data\ltzqai.exe','');
QuarantineFile('C:\Documents and Settings\Shinigami\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Shinigami\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8594088041-1551204931-365527071-3157\syscr.exe,C:\RECYCLER\S-1-5-21-7690355588-9944968446-828345362-6461\syscr.exe,explorer.exe,C:\Documents and Settings\Shinigami\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\RECYCLER\S-1-5-21-8594088041-1551204931-365527071-3157\syscr.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
+
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
после использования скрипта заметил наличие двух процессов explorer.exe
Последний раз редактировалось Никита Соловьев; 17.10.2010 в 21:15.
Причина: удалены лишние вложения
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
опять появился ctfdrive32.exe и msvmiod.exe, при удалении из диспетчера они появляются вновь чере 5 минут, вкладки в браузере не обновляются, а при открытии новых появляется просто чистая вкладка
Последний раз редактировалось Shini032; 17.10.2010 в 17:00.
-
-
-
Junior Member
- Вес репутации
- 50
-
Хорошо. Повторите логи AVZ
-
-
Junior Member
- Вес репутации
- 50
начались проблемы с интернетом... Нод показывает атаку с url, кроме того в автозагрузке стоит процесс dumper 0 -u, также через некоторое время после подключения интернета выводиться сообщение о том что "генерик хост контроллер" завершает работу, после чего слетает подключение, и не подключается сново к инету если не перезагрузиться
Последний раз редактировалось Никита Соловьев; 22.10.2010 в 17:17.
Причина: Infected URL + quarantine
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-9815676958-4787963174-510230139-6138\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9815676958-4787963174-510230139-6138\syscr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 50
Ссылка "прислать запрошенный карантин" не работает, поэтому выкладываю карантин в темув прошлом сообщении не дописал, что атака идет еще с http:208.53.183.46/cl.jpg и http/:208.53.183.124/sm.jpg
Последний раз редактировалось Shini032; 23.10.2010 в 13:31.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\Documents and Settings\Shinigami\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Shinigami\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Давно вам не писал и не сидел за компьютером, но ... за время моего отсутствия вирусов меньше не стало, теперь в они наглеют еще больше чем раньше - нод их не видит вообще, после проверки Касперским они удаляются , но после перезагрузив компьютер появляются заново.
Вот логи:
-
Обновления, вышедшие после SP3, все установлены?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
нет, обновления не стоят - обновление системы выключено
-
Отсюда и проблемы. Включайте и обновляйтесь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-