-
Junior Member
- Вес репутации
- 49
Процессы msvmiode.exe, ggdrive32.exe, scisf.exe
Появляются данные процессы хаотично и обрубается интернето сразу, То сразу, то через час-два . scicf.exe лез в автозапуск после Диагностики( из правил) исчез и вроде не появляется. Но msvmiode.exe и ggdrive32.exe остались в папке Windows(ggdrive32.exe) и system32(msvmiode.exe), в папке Temp появляется msvmiode.exe и процессы цифровыми именами(число.exe). Нод их не видит, проверка курейтом веба ничего не дала. Файл ggdrive32.exe был замечен программой USB Disk Security.
Последний раз редактировалось trelja; 16.01.2011 в 16:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\Program Files\OO Software\DiskImage\oodishrs.dll','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\Documents and Settings\Треля\Application Data\bowcav.exe','');
DeleteFile('C:\Documents and Settings\Треля\Application Data\bowcav.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить.
-
-
Junior Member
- Вес репутации
- 49
Карантин выслал. Вот логи.
Посмотрел, вроде ничего нет.
Спасибо!
Они правда исчезли?
Не подскажите еще, что за процесс dmadmin.exe. Заметил его в диспетчере недавно, как раз со всеми этими msvmiode.exe, ggdrive32.exe. Сейчас висит только он. Это вирус?
Последний раз редактировалось trelja; 16.01.2011 в 18:30.
-
про dmadmin.exe тут
1.Профиксите в HijackThis
Код:
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://g:\Program Files\BitComet\tools\BitCometBHO_1.4.12.6.dll/206 (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\Треля\Application Data\bowcav.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 49
Оновить не получится, у меня не лицензия. Internet Explorer и Java обновил. Логи приложил.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\pgeaymub.dll','');
DeleteFile('C:\WINDOWS\system32\pgeaymub.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cbzzzm\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
Сообщение от
polword
- Сделайте лог MBAM
- такой еще лог сделайте
-
-
Junior Member
- Вес репутации
- 49
Карантин выслал. Логи прикрепил. (С MBAMом затупил в начале) Жду дальнейших инструкций.
-
Удалите в МВАМ
Код:
d:\system volume information\_restore{4da9f7a8-dfe7-49de-9373-0b09efa91591}\RP76\A0014702.exe (Backdoor.Hupigon) -> No action taken.
Остальное Ваши кряки-кейгены
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Спасибо всем за помощь!
После удаления в MBAM - все?
Извиняюсь за дотошливость, запустил MBAM, в опере ваш сайт каждую минуту вылетает на регистрацию. Это никак не связано с MBAM или вирусами?
Последний раз редактировалось trelja; 18.01.2011 в 03:20.
-
Сообщение от
trelja
После удаления в MBAM - все?
Да.
MBAM деинсталлируйте.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
trelja
Извиняюсь за дотошливость, запустил MBAM, в опере ваш сайт каждую минуту вылетает на регистрацию. Это никак не связано с MBAM или вирусами?
Заранее благодарен!
-
После деинсталляции MBAM и перезагрузки - тоже?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
Bratez
После деинсталляции MBAM и перезагрузки - тоже?
Все сделал, вроде нормально. Всем премного благодарен за помощь и проделанную работу! Сапсибо вам и вашему сайту за то, что вы есть!
P.S. Если появятся какие-нибудь проблемы, я буду писать в эту тему. (верно?)
Добавлено через 6 минут
Здраствуйте! Это опять я. Ваш сайт при открытии нескольких вкладок различных тем через время вылетает на http://virusinfo.info/register.php с надписью:
Сообщение форума
По нашим данным вы уже зарегистрированы на форуме под именем trelja. Если вы забыли свой пароль, нажмите здесь. Если вы хотите изменить свой профиль, то нажмите здесь.
И в опере, и в мозиле, открытых как вместе, так и по одному. Это связано с браузерами, вашим сайтом или неполадками в моем компьютере?
Заранее благодарен за ответ!
P.S. Это в принципе не мешает, главное от вирусов избавили. Но интересно знать, вдруг что-то еще.
Последний раз редактировалось trelja; 18.01.2011 в 16:02.
Причина: Добавлено
-
Похоже это связано с сайтом
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Спасибо!
Главное то, что не вирусы.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения вредоносные программы в карантинах не обнаружены
-