SOS wndrive32 и msvmiode.exe

[vinylkiller]

после удаления вот этой Malwarebytes' Anti-Malware,появилась ошибка
Windows Explorer has encountered a problem and needs to close. We are sorry for the inconvenience.

Error signature
AppName: explorer.exe AppVer: 6.0.2900.5512 ModName: unknown
ModVer: 0.0.0.0 Offset: 71ab6a55

наверное что стёр нето случайно... только этого еще не хаватало.... замучался

[миднайт]

Распакуйте прикрепленный архив в отдельную папку.
Скопируйте файл termsrv.dll в вашу системую директорию c:\WINDOWS\system32\
Запустите reg-файл, добавьте информацию в реестр. Перезагрузитесь.
Вложение 247273

[vinylkiller]

Распакуйте прикрепленный архив в отдельную папку.
Скопируйте файл termsrv.dll в вашу системую директорию c:\WINDOWS\system32\
Запустите reg-файл, добавьте информацию в реестр. Перезагрузитесь.
Вложение 247273

Большое спасибо! Помогло!!

[vinylkiller]

все обновил,сделал логи

после выполнения "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"

Нортон выкинул вот это

Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: W32.Spybot.Worm
File: C:\System Volume Information\_restore{4426B1F7-F36D-4E29-87FF-CC4D6B8EA2C2}\RP2\A0004062.exe
Location: C:\System Volume Information\_restore{4426B1F7-F36D-4E29-87FF-CC4D6B8EA2C2}\RP2
Computer: PENTIUMD
User: Michael
Action taken: Clean failed : Quarantine failed : Delete succeeded : Access denied
Date found: 18 èþíÿ 2010 ã. 21:16:27
Вложение 247461

Вложение 247462

Вложение 247463

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


В HiJackThis пофиксите:

Код:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\wndrive32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\wndrive32.exe

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\64.exe','');
 QuarantineFile('C:\WINDOWS\system32\57.exe','');
 QuarantineFile('C:\WINDOWS\system32\12.exe','');
 QuarantineFile('C:\WINDOWS\wndrive32.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-4394734823-4159197726-001243053-9675\syscr.exe','');
 DeleteService('rhxw');
 QuarantineFile('C:\WINDOWS\System32\drivers\vplqdu.sys','');
 QuarantineFile('c:\windows\wndrive32.exe','');
 TerminateProcessByName('c:\windows\wndrive32.exe');
 QuarantineFile('c:\windows\system32\msvmiode.exe','');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('c:\windows\wndrive32.exe');
 DeleteFile('C:\WINDOWS\wndrive32.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\vplqdu.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-4394734823-4159197726-001243053-9675\syscr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\system32\12.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');
 DeleteFile('C:\WINDOWS\system32\64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Логи повторите.

[vinylkiller]

есть
Вложение 247475

Вложение 247476

[миднайт]

Ничего вредоносного не видно. Проблема решена?

[vinylkiller]

вроде бы всё!!!! я безгранично благодарен!!!!

Спасибо большое!!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 27
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\michael\local settings\temporary internet files\content.ie5\wxyvgx6z\663x[1].exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  2. c:\documents and settings\michael\local settings\temp\002.exe - Trojan.Win32.VBKrypt.bsw ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4155361, AVAST4: Win32:VBMod [Trj] )
  3. c:\documents and settings\michael\local settings\temp\556.exe - Worm.Win32.VBNA.b ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.123408, AVAST4: Win32:VBMod [Trj] )
  4. c:\documents and settings\michael\local settings\temp\576.exe - Worm.Win32.VBNA.b ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.123408, AVAST4: Win32:VBMod [Trj] )
  5. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9yna9kj\663x[1].exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  6. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\wrahoxcl\6333[1].exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.4217070, AVAST4: Win32:VBMod [Trj] )
  7. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\y7cfydah\663x[1].exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  8. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\0lmp8zut\663x[1].exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  9. c:\recycler\s-1-5-21-0329752669-1549805066-353582236-2689\syscr.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  10. c:\windows\system32\msvmiode.exe - Trojan.Win32.VBKrypt.bsw ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4155361, AVAST4: Win32:VBMod [Trj] )
  11. c:\windows\system32\00.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  12. c:\windows\system32\02.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  13. c:\windows\system32\04.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  14. c:\windows\system32\16.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  15. c:\windows\system32\25.exe - Worm.Win32.VBNA.b ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.4217070, AVAST4: Win32:VBMod [Trj] )
  16. c:\windows\system32\26.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  17. c:\windows\system32\28.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  18. c:\windows\system32\30.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  19. c:\windows\system32\32.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  20. c:\windows\system32\40.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  21. c:\windows\system32\41.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  22. c:\windows\system32\60.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  23. c:\windows\system32\86.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  24. c:\windows\system32\87.exe - P2P-Worm.Win32.Palevo.amsm ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FB )
  25. c:\windows\wndrive32.exe - Worm.Win32.VBNA.b ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.123408, AVAST4: Win32:VBMod [Trj] )