Так же как и остальные, увидел новые процессы и кучу .exe с цифроименами. Проходил куритом и старым нодом - вирусы появляются вновь. Инет отрубается после 5-10 минут использования.
Помогите пожалуйста.
Msvmiode и cfdrive32.exe
Так же как и остальные, увидел новые процессы и кучу .exe с цифроименами. Проходил куритом и старым нодом - вирусы появляются вновь. Инет отрубается после 5-10 минут использования.
Помогите пожалуйста.
Последний раз редактировалось BiZed; 23.11.2010 в 01:37. Причина: метки
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); QuarantineFile('C:\WINDOWS\cfdrive32.exe',''); QuarantineFile('C:\Documents and Settings\DIA\Application Data\ltzqai.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1935672294-4435119846-959369584-0162\syscr.exe,explorer.exe,C:\Documents and Settings\DIA\Application Data\ltzqai.exe,Explorer.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1935672294-4435119846-959369584-0162\syscr.exe,explorer.exe,C:\Documents and Settings\DIA\Application Data\ltzqai.exe,Explorer.exe'); DeleteFile('C:\Documents and Settings\DIA\Application Data\ltzqai.exe'); DeleteFile('C:\WINDOWS\cfdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин, логи выслал.
Удалите в МВАМКод:Зараженные папки: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken. Зараженные файлы: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-0884369257-4170909267-970608654-0359\winmap.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-1935672294-4435119846-959369584-0162\syscr.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-6660247627-0960483749-818267779-5621\syscr.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-6688013988-8048894222-410524715-5761\winmap.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-2197480569-6465713423-276331666-9818\winmap.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-3251247836-0258428808-480370834-6445\syscr.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-9751583427-3254790432-427330797-3857\winmap.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-9995300411-9378768492-838501130-8945\syscr.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-4270574822-8430329731-605890354-1904\winmap.exe (Worm.Autorun.B) -> No action taken. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил. Все логи прилагаю.
Чисто. Что с проблемой?
Тьфу три раза - инет не обрубается, процессы левые не появляются, файлы с цифроименами в Documents and Settings больше не появляются. Большое спасибо вам, товарищи Хелперы!
АПД.: отнес бук его хозяйке, подрубил к ее инету и запустил битторрент. Сfdrive32.exe и прочие прелести появились через 10 минут вновь. Почистил заново (следуя рекомендациям хелперов) - пока все чисто... но откуда берется зараза?
Обновления, вышедшие после SP3, установлены? Если нет, то вот Вам и причина
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Хм. Спасибо за наводку. Я совсем забыл про заплатки для SP3. Буду обновлять систему.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\dia\\application data\\ltzqai.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.14136, BitDefender: Trojan.Generic.6498301, NOD32: Win32/Bflient.K worm, AVAST4: Win32:AutoRun-BRP [Trj] )
- c:\\windows\\cfdrive32.exe - Trojan.Win32.VBKrypt.anva ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5479206, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.fkw ( DrWEB: Trojan.Spambot.10418, BitDefender: Gen:Variant.Kazy.3567, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Malware-gen )
Уважаемый(ая) BiZed, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
