Два дня пытался побороть эти замечательные процессы самостоятельно - но теперь вот к вам бегу за помощью, согласно инструкциям.
Заранее - большое спасибо вам, товарищи добрые волшебники!:)
Логи
Printable View
Два дня пытался побороть эти замечательные процессы самостоятельно - но теперь вот к вам бегу за помощью, согласно инструкциям.
Заранее - большое спасибо вам, товарищи добрые волшебники!:)
Логи
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\aswl2k.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G114S39Z\8[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G114S39Z\8[1].exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\8[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\8[1].exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SE0RVEGA\8[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SE0RVEGA\8[1].exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\s[1].exe','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\s[1].exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\8bf[1].exe','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\8bf[1].exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\s[2].exe','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5P8SD3OB\s[2].exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[1].exe','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[1].exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[2].exe','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\8bf[2].exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\s[1].exe','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\s[1].exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-9996091375-4770953757-161163247-7583\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9996091375-4770953757-161163247-7583\syscr.exe');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
DeleteFile('C:\WINDOWS\system32\88.exe');
QuarantineFile('C:\WINDOWS\system32\81.exe','');
DeleteFile('C:\WINDOWS\system32\81.exe');
QuarantineFile('C:\WINDOWS\system32\75.exe','');
DeleteFile('C:\WINDOWS\system32\75.exe');
QuarantineFile('C:\WINDOWS\system32\73.exe','');
DeleteFile('C:\WINDOWS\system32\73.exe');
QuarantineFile('C:\WINDOWS\system32\48.exe','');
DeleteFile('C:\WINDOWS\system32\48.exe');
QuarantineFile('C:\WINDOWS\system32\34.exe','');
DeleteFile('C:\WINDOWS\system32\34.exe');
QuarantineFile('C:\WINDOWS\system32\20.exe','');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\17.exe');
QuarantineFile('C:\WINDOWS\system32\17.exe','');
QuarantineFile('c:\windows\system32\aswl2k.exe','');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите логи
Olejah, спасибо!
Скрипты выполнил, quarantine.zip отправил, новые логи приаттачиваю:
Вроде всё умерло, но мог остаться мусор, сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL]
Эммм... ну syscache.exe вроде пропал, но cfdrive32.exe и msvmiode.exe остались активными.
Лог MBAM в аттаче.
Еще раз спасибо!
Вы же читали как делать лог МВАМ, хочу спросить, что Вы думаете об этом пункте - [QUOTE]3. Запустите полное сканирование. По вышеуказанной причине - [B][COLOR="Red"]ничего не удаляйте, не посоветовавшись с хелперами.[/COLOR][/B][/QUOTE], так как Вы его успешно проигнорировали...
Эх:( Время было позднее, ночь. Соображал плохо.
Простите уж меня пожалуйста. И подскажите, что дальше-то делать.
Повторите лог МВАМ и скажите беспокоит ли ещё что-нибудь.
Лог MBAM сделал снова, вот он.
Ни cfdrive32.exe, ни msvmiode.exe уходить пока вроде бы не собираются...
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все найденное и предоставьте новый лог
С удовольствием предоставляю лог MBAM после удаления всего обнаруженного.
перезагрузитесь и сделайте лог снова
и вот что получилось у MBAM после перезагрузки:
удалите все найденное в MBAM, лог повторите
Вот что теперь говорит MBAM...
Удалить, перезагрузиться и снова просканировать?
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\m[1].exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\381.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\333.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\594.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G7TBL0UE\m[1].exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\381.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\333.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\594.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\704.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\704.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\ff[1].exe','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\4TG5VHHL\ff[1].exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\ff[1].exe','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KFZ1F26L\ff[1].exe');
QuarantineFile('C:\WINDOWS\system32\06.exe','');
DeleteFile('C:\WINDOWS\system32\06.exe');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
DeleteFile('C:\WINDOWS\system32\14.exe');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
DeleteFile('C:\WINDOWS\system32\21.exe');
QuarantineFile('C:\WINDOWS\system32\32.exe','');
DeleteFile('C:\WINDOWS\system32\32.exe');
QuarantineFile('C:\WINDOWS\system32\35.exe','');
DeleteFile('C:\WINDOWS\system32\35.exe');
QuarantineFile('C:\WINDOWS\system32\40.exe','');
DeleteFile('C:\WINDOWS\system32\40.exe');
QuarantineFile('C:\WINDOWS\system32\43.exe','');
DeleteFile('C:\WINDOWS\system32\43.exe');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
DeleteFile('C:\WINDOWS\system32\64.exe');
QuarantineFile('C:\WINDOWS\system32\77.exe','');
DeleteFile('C:\WINDOWS\system32\77.exe');
QuarantineFile('C:\WINDOWS\system32\80.exe','');
DeleteFile('C:\WINDOWS\system32\80.exe');
QuarantineFile('C:\WINDOWS\system32\82.exe','');
DeleteFile('C:\WINDOWS\system32\82.exe');
BC_ImportAll;
ExecuteSysClean;
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- перезагрузитесь
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте повторный лог[URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Логи прилагаются. Спасибо.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\33.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Спасибо!
Инструкции выполнил. Лог MBAM наконец-то выглядит красиво:)
Кажется, благодаря вашей помощи удалось-таки вытравить этих гадов!
Лог в порядке