-
Junior Member
- Вес репутации
- 50
Зараза msvmiode.exe, syscache.exe, cfdrive32.exe
Пожалуйста помогите побороть заразу в виде msvmiode.exe, syscache.exe, cfdrive32.exe. Пробовал лечить DrWeb CureIt! - помогло но не до конца. После заражения на компе перестал наормально функционировать 443 порт - соединения по нему не устанавливаются (только IE выходит на https сайты, остальной софт обламывается). SSL нужен для работы. Пожалуйста помогите. Логи в приложении.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Искра\Application Data\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2254008053-7727653011-203388494-4260\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2254008053-7727653011-203388494-4260\syscr.exe');
DeleteFile('C:\Documents and Settings\Искра\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1836789339-2158580196-2627743891-1003\Dc86.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1836789339-2158580196-2627743891-1003\Dc68.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1836789339-2158580196-2627743891-1003\Dc67.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1836789339-2158580196-2627743891-1003\Dc106.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1836789339-2158580196-2627743891-1003\Dc102.exe');
DeleteFile('C:\Documents and Settings\Искра\Local Settings\Temporary Internet Files\Content.IE5\1YFM6OT0\irc2[1].exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
скрипты прогнал, логи прикладываю
-
-
-
Junior Member
- Вес репутации
- 50
-
Удалите в МВАМ -
Код:
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-2254008053-7727653011-203388494-4260\syscr.exe.vir (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-7482667402-7287399289-385853644-3184\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
- RemoteAdmin'ом пользуетесь?
- Повторите лог МВАМ
-
-
Junior Member
- Вес репутации
- 50
про радмин совсем забыл, уже удалил его, тем более он и не запускался после заражения.
новый лог MBAM, в логе - файл служебной программы. вирусом быть не должен!
-
Тогда чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
комп чистый, спасибо за помощь! но проблема никуда не делась
"Ошибка связи с сервером : Error connecting with SSL."
-
Срочно обновляйте систему - установить Service Pack 3 + все вышедшие заплатки
- Обновите Internet Explorer
- Воспользуйтесь функцией автоматического восстановления системы.
-
-
Junior Member
- Вес репутации
- 50
ok, SP3 уже в процессе закачки. explorer обновлял - результат тот же.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-