Вирусы msvmiomode.exe ctfdrive32.exe

[sentinel.dm]

Через анонимайзер: лог не мог прикрепить тут...http://webfile.ru/4689995

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\ymojiti.dll

Driver::
zzrsucheh
kbnrfcrm
lgntn
vsgzsykra
vqzmygfu
hiifckcx

NetSvc::
zzrsucheh
kbnrfcrm
lgntn
vsgzsykra
vqzmygfu
hiifckcx

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1130:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[sentinel.dm]

новый отчет

[polword]

В логе чисто. Понаблюдайте за проблемой.
- Удалите ComboFix

[sentinel.dm]

после чистки комбофих, всё равно лезли cfdrive32.exe и msvmiode syscr.exe и гмер опять нашел руткит с рандомным названием.
но я прогнал проверку через все программы в обычном и безопасном режиме, какие скачивал здесь.
Вычистил все службы, ключи реестра, всё что посчитал подозрительным, не беспокоясь на работоспособность винды(так устал боротся если что б переустановил).
Удалил всё что они нашли
Сделал sfc
Удалил подозрительные по названию dll
Теперь все логи чисто.
Перезагрузился несколько раз
и полазил по инету и снова всё проверил
всё нормально.

Осталось только:
Где то я напортачил, у меня теперь где выбор режима безопасной загрузки иероглифы вместо русского языка и в cmd вместо русского иероглифы- не могли бы вы помочь исправить

[thyrex]

у меня теперь где выбор режима безопасной загрузки иероглифы вместо русского языка и в cmd вместо русского иероглифы- не могли бы вы помочь исправить

В реестре нужно найти раздел

Код:

[HKEY_CURRENT_USER\Console\%systemroot%_system32_cmd.exe]

и изменить параметр "CodePage"=dword:00000362

[sentinel.dm]

Спасибо за помощь. Тему можно закрывать.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 26
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\dima\\application data\\ltzqai.exe - Trojan.Win32.Agent2.cves ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Agent.AQMN, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
  2. c:\\recycler\\s-1-5-21-2553991060-5654258061-944480425-7470\\syscr.exe - Trojan.Win32.Agent2.cves ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Worm.Generic.333936, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
  3. c:\\temp\\507.exe - Trojan.Win32.Agent2.loa ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.5248473, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
  4. c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.fee ( DrWEB: Trojan.DownLoader1.18438, BitDefender: Trojan.Agent.AQND, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Flot-U [Wrm] )
  5. c:\\windows\\system32\\msvmiode.exe - Trojan.Win32.Scar.cpyb ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4655847, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Flot-U [Wrm] )
  6. c:\\windows\\system32\\ymojiti.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.X worm, AVAST4: Win32:Confi [Wrm] )
  7. c:\\windows\\system32\\53.exe - Trojan.Win32.Agent2.cves ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Worm.Generic.333936, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
  8. d:\\гис\\autorun.exe - Trojan-Spy.Win32.Goldun.dub ( BitDefender: Spyware.11756, AVAST4: Win32:Spyware-gen [Spy] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !