-
Junior Member
- Вес репутации
- 57
Msvmiode.exe , Cfdrive32.exe, 37545.exe...
Доброго времени суток!
Помогите помогите пожалуйста одолеть вирусы. При загрузке windows появляются процессы Msvmiode.exe и Cfdrive32.exe, а еще процессы с названиями состоящими из цифр, к примеру 37545.exe или 904.exe. Причем цифры в названии процесса почти всегда разные.
Эти процессы иногда блокируют инет, иногда создают файлы типа atorum.inf на жестком диске...
Логи прилагаются.
Заранее благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\314.exe','');
QuarantineFile('C:\Documents and Settings\Сергей\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\Сергей\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\314.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи + сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 57
Все выполнил. Логи прилагаются.
Огромнейшее вам спасибо!!!
-
Лихо Вы всё под нож в МВАМ пустили. Надо будет ещё сделать дополнительно лог Гмер.
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
Olejah
Лихо Вы всё под нож в МВАМ пустили. Надо будет ещё сделать дополнительно лог
Гмер.
Там почти все не нужное было, а что нужно - можно без проблем восстановить
Лог прилагаю
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится 6rc1mo2p.exe(GMER) и запустите этот батник(1.bat):
Код:
6rc1mo2p.exe -del service mzclvdzby
6rc1mo2p.exe -del file "C:\WINDOWS\system32\yizei.dll"
6rc1mo2p.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mzclvdzby"
6rc1mo2p.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\mzclvdzby"
6rc1mo2p.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\сергей\\application data\\ltzqai.exe - Trojan.Win32.Pincav.ajfp ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KDV.55270, NOD32: Win32/Bflient.K worm, AVAST4: Win32:MalOb-IE [Cryp] )
- c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan.Win32.VB.amcx ( DrWEB: Trojan.PWS.LDPinch.2490, BitDefender: Trojan.Generic.5062414, NOD32: Win32/VB.AMCX trojan, AVAST4: Win32:Agent-ANQN [Trj] )
- c:\\windows\\cfdrive32.exe - Trojan.Win32.VB.amcx ( DrWEB: Trojan.PWS.LDPinch.2490, BitDefender: Trojan.Generic.5062414, NOD32: Win32/VB.AMCX trojan, AVAST4: Win32:Agent-ANQN [Trj] )
- c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.fiw ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.5077651, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Malware-gen )
-