msvmiode.exe

Printable View

20.11.2010, 17:55
Stormy

msvmiode.exe

Добрый день! Вот и я с недавних пор стал счастливым обладателем такого вот "подарка".Симптомы стандартные: то в Инет не выходит, то аудиоустройства пропадают, тема оформления меняется на классическую, а ещё стала выскакивать табличка " Generic Host process for Win32 Services - обнаружена ошибка...". CureIt в безопасном режиме не находит, КИС - видит как неизвестную угрозу. Что делать - ума не приложу. Помогите плиз, буду признателен.
20.11.2010, 18:31
olejah

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
ExecuteRepair(1);
ExecuteWizard('TSW',2,2,true);
end.[/CODE]

- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
20.11.2010, 19:15
Stormy

Вот
20.11.2010, 19:18
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные файлы:
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\CDQ3S567\55and66[1]._ (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\CDQ3S567\mdhbdv[1]._ (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3JH08W6P\o[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EJNDW2KJ\7[1].exe (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0168747078-4905868539-172868887-6675\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-5695423312-1004087224-257523358-7417\winmap.exe (Worm.Autorun.B) -> No action taken.
[/CODE]

Больше плохого не видно. Но - пока эти звери опять не набежали, ставим заплатки -

- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите [url="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Сервис Пак 3[/url] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить [b][color="Red"]все защитные приложения[/color][/b] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
20.11.2010, 20:10
Stormy

Всё так и сделал, только Каспер до сих пор ругается на msvmiode.exe в папке system32. Не видит система звуковых устройств и в Интернет пускает через раз. Хотя системные звуки проигрываются в USB наушниках.
20.11.2010, 20:46
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
20.11.2010, 21:14
Stormy

Есть
20.11.2010, 21:21
olejah

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.

[CODE]KillAll::

File::
c:\documents and settings\Admin\Application Data\oekx.exe
c:\documents and settings\All Users\Application Data\hpeF4.dll
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\cfdrive32.exe
c:\windows\logfile32.txt
c:\windows\system32\15.exe
c:\windows\system32\56.exe
c:\windows\system32\63.exe
c:\windows\system32\82.exe
c:\windows\system32\hyuu.exe
c:\windows\system32\ssqrm.exe
c:\windows\system32\86.exe
c:\docume~1\Admin\LOCALS~1\Temp\4824.exe
c:\docume~1\Admin\LOCALS~1\Temp\7915856.exe
c:\windows\system32\msvmiode.exe

Driver::

NetSvc::

Folder::

Registry::
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="explorer.exe,c:\documents and settings\Admin\Application Data\ltzqai.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Taskman"="c:\recycler\S-1-5-21-8682058804-0736742695-107632987-3789\syscr.exe"

FileLook::

DirLook::[/CODE]

После сохранения переместите [B]CFScript.txt[/B] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
20.11.2010, 21:57
Stormy

Ещё один файл прикрепил на всякий случай
20.11.2010, 21:59
olejah

Вроде всё было прибито. Что с проблемой?
20.11.2010, 22:05
Stormy

каспер не умолкает и постоянно слышен звук ошибки, хотя на экране ничего не происходит. Не знаю, можно ли по правилам так делать, выкладываю скрин.
20.11.2010, 22:10
olejah

Надо что-то делать. Пролечитесь утилитой CureIt! и поставьте все обновления. Восстановление системы выключите. Без этого мы с Вами Новый Год встретим в компании этих вирусов.
20.11.2010, 22:18
Stormy

И ещё: в диспетчере высвечивается четыре процесса cmd.exe, хотя я не открывал строку и сообщение "Generic Host Process for Win32 Services - обнаружена ошибка..." Нажимаю "Не отправлять", а нон всё равно появляется.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

[QUOTE=Olejah;735316]Надо что-то делать. Пролечитесь утилитой CureIt! и поставьте все обновления. Восстановление системы выключите. Без этого мы с Вами Новый Год встретим в компании этих вирусов.[/QUOTE]

Это всё я сделал, получив Ваши рекомендации раннее. Не помогает:(
20.11.2010, 22:24
olejah

Повторите лог ComboFix
21.11.2010, 08:13
Stormy

Сделал
21.11.2010, 11:19
polword

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::

Driver::

NetSvc::

Folder::
c:\windows\system32\t

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
21.11.2010, 21:09
Stormy

Готово
22.11.2010, 08:00
polword

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\hyuu.exe

Driver::

NetSvc::

Folder::

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
22.11.2010, 21:13
Stormy

Готово. С каждым днём всё хуже работает комп. Много левых процессов в диспетчере, появился неудаляемый процесс smsc.exe (ранее удалялся)
22.11.2010, 23:10
thyrex

Установили все обновления или только SP3?
23.11.2010, 21:01
Stormy

все, как в инструкции указано

[size="1"][color="#666686"][B][I]Добавлено через 1 час 24 минуты[/I][/B][/color][/size]

Ну так что мне делать??? Больше часа жду ответа. Помогите пожалуйста.
23.11.2010, 21:12
polword

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system\smsc.exe

Driver::

NetSvc::

Folder::

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
23.11.2010, 21:57
Stormy

Всё сделал. Лог прикрепляю. АВЗ показал после перезагрузки, что угроз не обнаружено, но каспер нашёл Trojan.Win32.Pincav.akqm по адресу : C:\Documents and Settings\Admin\Application Data\ltzqai.exe
23.11.2010, 22:01
Stormy

Вот скрин короче, там совсем не чисто
23.11.2010, 22:13
polword

Пролечитесь [URL="http://support.kaspersky.ru/faq/?qid=208636926"]так[/URL]
- лог работы утилиты прикрепите к сообщению
[QUOTE][B][I]По умолчанию[/I][/B] утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt[/QUOTE]
23.11.2010, 22:20
Stormy

Сделал
23.11.2010, 22:39
polword

[QUOTE=polword;736737]- Откройте файл [URL="http://df.ru/%7Ekad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
[/QUOTE]
-это делали? Уязвимостей нет?
23.11.2010, 22:41
Stormy

Да, и ещё раз повторил для точности. Уязвимости не обнаружены.
23.11.2010, 22:50
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
23.11.2010, 23:52
Stormy

готово
24.11.2010, 02:11
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url][code]Зараженные файлы:
C:\Qoobox\Quarantine\C\Documents and Settings\Admin\Application Data\ltzqai.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\Documents and Settings\Admin\Application Data\oekx.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-21-8280689785-0283150300-086707153-0166\syscr.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\cfdrive32.exe.vir (VirTool.VBInject) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system\smsc.exe.vir (Backdoor.Bot) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\01.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\15.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\56.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\63.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\82.exe.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\hyuu.exe.vir (Backdoor.Bot) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ssqrm.exe.vir (Trojan.Agent) -> No action taken.[/code]
24.11.2010, 09:40
Stormy

Есть
24.11.2010, 10:43
polword

что с проблемой?
24.11.2010, 23:31
Stormy

Вроде пока ничего не беспокоит, но полную проверку каспером не проводил. Но пока молчит. Большое спасибо за помощь!!
25.11.2010, 08:49
polword

- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
25.11.2010, 09:41
Stormy

Удалил