Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Надоедливый вирус msvmiode.exe и 18089.exe (заявка № 85459)

  1. #1
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28

    Thumbs up Надоедливый вирус msvmiode.exe и 18089.exe

    Понимаю что вирус, AVPTool и CureIt не помогают, делал из под SafeMode с расширенной эвристикой и не один раз, на постоянку стоит Nod32 4.0.468.0 показывает что нашел вирусы но они не удаляются. делал по инструкции, пишу первый раз - сильно не пинать

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [MSODESNV7] D:\WINDOWS\system32\msvmiode.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\752276.exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\752276.exe');  
     TerminateProcessByName('d:\windows\system32\msvmiode.exe');
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\9361.exe');  
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\18089.exe');
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\752276.exe','');     
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\9361.exe','');
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\18089.exe','');      
     QuarantineFile('C:\greylink0025\greylink.exe','');
     QuarantineFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe','');
     QuarantineFile('D:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('D:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('J:\myfolder\myfile.exe','');
     QuarantineFile('J:\autorun.inf','');
     QuarantineFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe','');  
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\752276.exe');
     DeleteFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe');
     DeleteFile('D:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('D:\WINDOWS\system32\67.exe');
     DeleteFile('D:\WINDOWS\system32\87.exe');
     DeleteFile('D:\WINDOWS\cfdrive32.exe');
     DeleteFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\18089.exe');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\9361.exe');
     DeleteFile('d:\windows\system32\msvmiode.exe');  
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(11);
     ClearHostsFile;     
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28
    сделал Как исправить файл Hosts
    выкладываю заново

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Карантин где?

    Добавлено через 4 минуты

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\752276.exe');  
     TerminateProcessByName('d:\windows\system32\msvmiode.exe');
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\9361.exe');  
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\18089.exe');
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\294.exe');
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\294.exe',''); 
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\752276.exe','');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\294.exe');   
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\752276.exe');     
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\9361.exe','');
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\18089.exe','');      
     QuarantineFile('C:\greylink0025\greylink.exe','');
     QuarantineFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe','');
     QuarantineFile('D:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('D:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('J:\myfolder\myfile.exe','');
     QuarantineFile('J:\autorun.inf','');
     QuarantineFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe','');  
     DeleteFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe');
     DeleteFile('D:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('D:\WINDOWS\system32\67.exe');
     DeleteFile('D:\WINDOWS\system32\87.exe');
     DeleteFile('D:\WINDOWS\cfdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     DeleteFile('D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\18089.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\18089.exe');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\9361.exe');
     DeleteFile('d:\windows\system32\msvmiode.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(11);
     ClearHostsFile;     
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Ещё раз повторите логи
    Последний раз редактировалось olejah; 15.08.2010 в 17:54. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28
    сорри я пока добовлял еще одно сообщение, вы уже ответили
    по хронологии должно было сначала мой пост потом ваш
    у меня щас цифры в названии вирусни другие, значит скрипты работать не будут .. что делать?

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Будут, выполните последний скрипт в безопасном режиме.

  8. #7
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28
    повтор логов
    вроде как после скрипта из под безопасного режима не было вирусни в процессах.

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    J: - это флешка? Если да, то вставьте перед выполнением скрипта

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    4 - HKLM\..\Run: [MSODESNV7] D:\WINDOWS\system32\msvmiode.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\DOCUME~1\NEW_TECH\LOCALS~1\Temp\2861.exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); 
     TerminateProcessByName('d:\docume~1\new_tech\locals~1\temp\2861.exe');
     TerminateProcessByName('d:\windows\system32\msvmiode.exe');
     QuarantineFile('d:\windows\system32\msvmiode.exe','');
     QuarantineFile('d:\docume~1\new_tech\locals~1\temp\2861.exe','');
     QuarantineFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe','');
     QuarantineFile('D:\WINDOWS\system32\msvmiode.exe','');
     DeleteFile('D:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe');
     DeleteFile('d:\docume~1\new_tech\locals~1\temp\2861.exe');
     DeleteFile('d:\windows\system32\msvmiode.exe');
     DeleteFile('J:\myfolder\myfile.exe');              
     DeleteFile('J:\autorun.inf');     
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите лог virusinfo_syscheck.zip

  10. #9
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28
    quarantine2.zip залил, лог virusinfo_syscheck.zip повторил

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Выполните скрипт в АВЗ с подключенной J:\ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('J:\autorun.inf');
     DeleteFile('J:\myfolder\myfile.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - После этого сделайте лог МВАМ

  12. #11
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28
    это был комп на работе с моей флешкой. меня там уже нет. МВАМ сделать с подключенной флешкой не успел. возможно продолжить эту тему когда там буду? или надо начинать новую тему? или Вы
    Покажете, как удить рыбу
    и может я сам допетрю в чем дело. до сего момента я обходился силами антивирусов которые проверяют автоматом по нажатию одной кнопки.
    тут вродь тоже ничего сложного только надо знать как

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Запустили Вы компьютер со своими антивирусами, вот что я могу сказать. Лечение продолжим в удобное для Вас время, в этой теме, но - самодеятельность не приветствуется - нужно следовать нашим советам, либо лечиться самому.

  14. #13
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28
    ок. спасибо за помощь! никакой самодеятельности - обещаю! самодеятельностью уже сыт когда по два дня проверял всеми антивирями вдоль и поперек - устал, понимаете ли.

  15. #14
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28
    вот я снова на работе. результаты такие:
    в процессах вродь ничего лишнего нет, а в винде кое-чего не хватает. например нужно чтобы работало win+R.
    Еще винда сыпет ошибками
    Код:
    Ошибка приложения svchost.exe, версия 5.1.2600.5512, модуль ntdll.dll, версия 5.1.2600.5512, адрес 0x00041eed. 
    Код события:	1000
    Дата:		19.08.2010
    Время:		22:14:40
    и пр.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Удалите в МВАМ
    Код:
    Зараженные файлы:
    D:\RECYCLER\S-1-5-21-4617422625-4184359122-573685479-0904\syscr.exe (Worm.Autorun.B) -> No action taken.
    D:\RECYCLER\S-1-5-21-6281288921-9677931647-754845055-6730\syscr.exe (Worm.Autorun.B) -> No action taken.
    D:\Documents and Settings\NEW_TECH\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.
    D:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
    D:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28
    выполнил

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    В логах подозрительного нет.

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  19. #18
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28
    спасибо за помощь! с вирусами вродь покончено, подозрительного сам не вижу поэтому выложил логи. последний совет выполнил - avz написал:
    Поиск критических уязвимостей
    Часто используемые уязвимости не обнаружены
    меня ток это волнует:
    >> Заблокировано меню Пуск\Выполнить
    >> Заблокирован элемент Выполнить в меню Пуск
    как это исправлять, не подскажете?

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Цитата Сообщение от Mad_PC Посмотреть сообщение
    меня ток это волнует:
    >> Заблокировано меню Пуск\Выполнить
    >> Заблокирован элемент Выполнить в меню Пуск
    в прикрепленных логах такого нет

  21. #20
    Junior Member Репутация
    Регистрация
    15.08.2010
    Сообщений
    12
    Вес репутации
    28
    в том то и дело, что в логах такого нет, но это не работает. ни win+R, нету пуск-выполнить и нет выполнить в настройках меню пуск

  • Уважаемый(ая) Mad_PC, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. появился очень надоедливый вирус
      От mailkis в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.03.2011, 11:37
    2. Надоедливый вирус.
      От Reg1oxeN в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.12.2010, 16:35
    3. не удаляемый вирус msvmiode
      От DarkAXE в разделе Помогите!
      Ответов: 34
      Последнее сообщение: 27.11.2010, 01:51
    4. Просто надоедливый вирус.
      От Tahom в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 01.09.2010, 21:02
    5. Надоедливый вирус (возможно Trojan-Proxy.Win32.Horst.gf)
      От ДмитрийД в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 05.12.2008, 21:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01411 seconds with 16 queries