SOS wndrive32 и msvmiode.exe

после удаления вот этой Malwarebytes' Anti-Malware,появилась ошибка
Windows Explorer has encountered a problem and needs to close. We are sorry for the inconvenience.

Error signature
AppName: explorer.exe AppVer: 6.0.2900.5512 ModName: unknown
ModVer: 0.0.0.0 Offset: 71ab6a55

наверное что стёр нето случайно... только этого еще не хаватало.... замучался:(

Распакуйте прикрепленный архив в отдельную папку.
Скопируйте файл termsrv.dll в вашу системую директорию c:\WINDOWS\system32\
Запустите reg-файл, добавьте информацию в реестр. Перезагрузитесь.
[ATTACH]247273[/ATTACH]

[QUOTE=миднайт;656685]Распакуйте прикрепленный архив в отдельную папку.
Скопируйте файл termsrv.dll в вашу системую директорию c:\WINDOWS\system32\
Запустите reg-файл, добавьте информацию в реестр. Перезагрузитесь.
[ATTACH]247273[/ATTACH][/QUOTE]

Большое спасибо! Помогло!!

все обновил,сделал логи

после выполнения "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"

Нортон выкинул вот это

Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: W32.Spybot.Worm
File: C:\System Volume Information\_restore{4426B1F7-F36D-4E29-87FF-CC4D6B8EA2C2}\RP2\A0004062.exe
Location: C:\System Volume Information\_restore{4426B1F7-F36D-4E29-87FF-CC4D6B8EA2C2}\RP2
Computer: PENTIUMD
User: Michael
Action taken: Clean failed : Quarantine failed : Delete succeeded : Access denied
Date found: 18 èþíÿ 2010 ã. 21:16:27
[ATTACH]247461[/ATTACH]

[ATTACH]247462[/ATTACH]

[ATTACH]247463[/ATTACH]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
[B][COLOR="Red"]- Отключите Системное восстановление. [/COLOR][/B]


В HiJackThis пофиксите:

[code]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\wndrive32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\wndrive32.exe
[/code]


В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('C:\WINDOWS\wndrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4394734823-4159197726-001243053-9675\syscr.exe','');
DeleteService('rhxw');
QuarantineFile('C:\WINDOWS\System32\drivers\vplqdu.sys','');
QuarantineFile('c:\windows\wndrive32.exe','');
TerminateProcessByName('c:\windows\wndrive32.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\wndrive32.exe');
DeleteFile('C:\WINDOWS\wndrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\System32\drivers\vplqdu.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-4394734823-4159197726-001243053-9675\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
[/code]



После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Логи повторите.

есть
[ATTACH]247475[/ATTACH]

[ATTACH]247476[/ATTACH]

Ничего вредоносного не видно. Проблема решена?

вроде бы всё!!!! я безгранично благодарен!!!!

Спасибо большое!!!!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\michael\local settings\temporary internet files\content.ie5\wxyvgx6z\663x[1].exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\documents and settings\michael\local settings\temp\002.exe - [B]Trojan.Win32.VBKrypt.bsw[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4155361, AVAST4: Win32:VBMod [Trj] )[*] c:\documents and settings\michael\local settings\temp\556.exe - [B]Worm.Win32.VBNA.b[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.123408, AVAST4: Win32:VBMod [Trj] )[*] c:\documents and settings\michael\local settings\temp\576.exe - [B]Worm.Win32.VBNA.b[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.123408, AVAST4: Win32:VBMod [Trj] )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9yna9kj\663x[1].exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\wrahoxcl\6333[1].exe - [B]Worm.Win32.VBNA.b[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.4217070, AVAST4: Win32:VBMod [Trj] )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\y7cfydah\663x[1].exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\0lmp8zut\663x[1].exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\recycler\s-1-5-21-0329752669-1549805066-353582236-2689\syscr.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\msvmiode.exe - [B]Trojan.Win32.VBKrypt.bsw[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4155361, AVAST4: Win32:VBMod [Trj] )[*] c:\windows\system32\00.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\02.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\04.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\16.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\25.exe - [B]Worm.Win32.VBNA.b[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.4217070, AVAST4: Win32:VBMod [Trj] )[*] c:\windows\system32\26.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\28.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\30.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\32.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\40.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\41.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\60.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\86.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\system32\87.exe - [B]P2P-Worm.Win32.Palevo.amsm[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )[*] c:\windows\wndrive32.exe - [B]Worm.Win32.VBNA.b[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.123408, AVAST4: Win32:VBMod [Trj] )[/LIST][/LIST]