-
Junior Member
- Вес репутации
- 49
Вирусы cfdrive32.exe, msvmiode.exe, psysnew.exe, vsbntlo.exe, ltzqai.exe, oekx.exe, spooler.exe, cwdrive32.exe, winmap.exe и все все все...
Привет!
Не окажусь оригинальным, пал жертвой вирусов cfdrive32.exe, msvmiode.exe, psysnew.exe, vsbntlo.exe, ltzqai.exe, oekx.exe, spooler.exe, cwdrive32.exe, winmap.exe и ещё кучи номерных.
Пропадает интернет на компьютере и валятся ошибки svchost и generic host process.
Что я только не делал... и руками вирусы удалял, и при помощи AVZ с последними базами, удалял последними версиями Dr.Web CureIt!, и Kaspersky Virus Removal Tool 2010, и всё в безопасном режиме. Ничего не помогает. После перезагрузки они возвращаются. Просто хоть плач.
Если нужно, то логи KVRT 2010 тоже в наличии.
Восстановление системы отключено, логи делал в безопасном режиме.
Помогите!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
логи делал в безопасном режиме.
неправильно ... все ! операциии в нормальном режиме
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Maximum\Application Data\oekx.exe','');
QuarantineFile('C:\WINDOWS\system32\77.exe','');
QuarantineFile('C:\WINDOWS\system32\84.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('c:\windows\cfdrive32.exe','');
QuarantineFile('c:\docume~1\maximum\locals~1\temp\4948246.exe','');
DeleteFile('c:\docume~1\maximum\locals~1\temp\4948246.exe');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\Documents and Settings\Maximum\Application Data\oekx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
сделайте такой http://virusinfo.info/showthread.php?t=58309 лог
-
-
Junior Member
- Вес репутации
- 49
На всякий случай лог KVRT 2010. И virusinfo_cure AVZ.
Последний раз редактировалось Никита Соловьев; 13.12.2010 в 17:57.
Причина: карантин нельзя прикреплять к сообщению. вам не хватит места для новых вложений...
-
И еще:
Установите SP3(может потребоваться активация)+все последующие обновления
-
-
Junior Member
- Вес репутации
- 49
Вот.
А карантин тоже добавил, но как ссылку дать на него не в курсе.
-
Сообщение от
snifer67
И еще:
Установите
SP3(может потребоваться активация)+все последующие обновления
Сделайте новые логи AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Файл карантина к вам дошёл? А то ссылку я вам дать не могу у меня её нет.
Новые логи AVZ сделал.
А насчёт SP3 возникли вопросы, зачем, почему и на каком основании?
У меня установлена Windows XP Service Pack 2 Corporate Edition и я перешёл на неё не потому что в тот момент вышел SP2, а гораздо позже и знаю причины перехода, и эти причины не обновления безопасности и заплатки для дырок (а установленные dotnetfx, msi 2.0, dx9, ну и удобство корпоративной версии). Смысл же сейчас ставить SP3 я не вижу вообще. Или это такие вирусы которые не возможно удалить или сдерживать без установки SP3?
И ещё, а, что при установке сервис пака на корпоративную версию всё равно нужна активация?
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9275498542-3373613158-703813678-3530\syscr.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\Documents and Settings\Maximum\Application Data\ltzqai.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
-
-
Junior Member
- Вес репутации
- 49
Логи AVZ и HijackThis, а так же на всякий случай KVRT 2010.
-
Junior Member
- Вес репутации
- 49
И ещё на всякий случай Malwarebytes' Anti-Malware 1.50 с последними базами.
-
удалите все найденное в мбам
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\maximum\\application data\\oekx.exe - Worm.Win32.AutoRun.hpg ( DrWEB: Trojan.Inject.16812, BitDefender: Trojan.Generic.KDV.86365, AVAST4: Win32:Trojan-gen )
- c:\\docume~1\\maximum\\locals~1\\temp\\4948246.exe - Trojan.Win32.VBKrypt.aecd ( DrWEB: Trojan.AVKill.2, BitDefender: Trojan.Generic.5236984, AVAST4: Win32:Trojan-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - Trojan.Win32.VBKrypt.afmv ( DrWEB: Trojan.Inject.17204, BitDefender: Trojan.Generic.5263551, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan.Win32.VBKrypt.aqrp ( DrWEB: Trojan.Click.50748, BitDefender: Trojan.Generic.5206042, AVAST4: Win32:Malware-gen )
- c:\\windows\\cfdrive32.exe - Trojan.Win32.VBKrypt.aecd ( DrWEB: Trojan.AVKill.2, BitDefender: Trojan.Generic.5236984, AVAST4: Win32:Trojan-gen )
- c:\\windows\\cwdrive32.exe - Trojan.Win32.VBKrypt.adyf ( DrWEB: Trojan.AVKill.2, BitDefender: Trojan.Generic.5280735, AVAST4: Win32:Dropper-gen [Drp] )
- c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.fpn ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.5206008, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\03.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.18231, BitDefender: Trojan.Generic.KDV.85688, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\04.exe - P2P-Worm.Win32.Palevo.bjnk ( DrWEB: Trojan.DownLoader1.47085, BitDefender: Trojan.Generic.KDV.86683, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\05.exe - P2P-Worm.Win32.Palevo.bjmi ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\77.exe - P2P-Worm.Win32.Palevo.bjmj ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\84.exe - P2P-Worm.Win32.Palevo.bjnk ( DrWEB: Trojan.DownLoader1.47085, BitDefender: Trojan.Generic.KDV.86683, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
-