Показано с 1 по 12 из 12.

msvmiode.exe этот процесс пытается выйти в интернет (заявка № 87998)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    6
    Вес репутации
    27

    Done msvmiode.exe этот процесс пытается выйти в интернет

    Здраствуйте! помогите пожалуйста. При каждом входе в интернет мой фаерволл Outpost 7.0 выдает что процесс msvmiode.exe пытается изменить критические параметры explorer.exe. сами процессы которые выдает фаервол названы цифрами: 924706.exe; другие два забыл записать и больше они не появляются . Это и вызвало подозрения. Ко всем этим процессам применяю блокировать и завершить. Но каждый раз они вылазиют снова и снова.Набрал в поисковике выдал вирус. Вот обращаюсь к вам за помощью. Помогите вывести эту малварь. Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,409
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
    2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\2662a732.exe,C:\WINDOWS\system32\ujvuke.exe,
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');  
     TerminateProcessByName('c:\windows\cfdrive32.exe');
     QuarantineFile('C:\WINDOWS\system32\2662a732.exe','');
     QuarantineFile('C:\WINDOWS\system32\ujvuke.exe','');
     QuarantineFile('C:\Documents and Settings\Евгений.20225561A6C34C7\Application Data\ltzqai.exe','');
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     DeleteFile('C:\Documents and Settings\Евгений.20225561A6C34C7\Application Data\ltzqai.exe');
     DeleteFile('C:\WINDOWS\system32\ujvuke.exe');
     DeleteFile('C:\WINDOWS\system32\2662a732.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');  
     QuarantineFile('c:\windows\system32\msvmiode.exe','');      
     DeleteFile('c:\windows\system32\msvmiode.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');  
     QuarantineFile('C:\RECYCLER\S-1-5-21-5734330187-2047576655-345382092-6999\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-5734330187-2047576655-345382092-6999\syscr.exe');               
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    6
    Вес репутации
    27

    сделал все как написали

    День добрый. Все сделал. Только до этого еще вчера не дождавшись ответа скачал антивирусную утилиту касперского и проверил ей. Он нашел 29 угроз. также для лечения использовал Unhackme. наверное это могло повлиять на результаты выполнения вашего скрипта. Если чем навредил простите.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,409
    Вес репутации
    1268
    Что сейчас с проблемой?

  6. #5
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    6
    Вес репутации
    27

    Спасибо огромное сейчас все вроде норм

    Спасибо огромное Все восстановилось. Но после лечения запускался один подозрительный процесс я его в трэе увидел в правом углу экрана. рабтал оутлук в свернутом режиме шло активное обращение к винту, хотя никаких программ не было запущено а система полностью загрузилась.. навел на него курсор выдал, что идет сбор информации, я этот процесс отменил, больше его не видел.Сам оутлук у меня установлен но не настроен и я его не разу не запускал с момента установки системы. из автозапуска тоже его удалил при установке системы. И еще если не трудно дайте совет. Нужно ли после этой гадости менять пароли на интернет сайтах? когда лазию по сайтам никогда не сохраняю пароль.

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,409
    Вес репутации
    1268
    Пароли сменить не помешает. Понаблюдайте за компьютером, пока не будем ставить "Излечено", эти злыдни так просто обычно не уходят.

  8. #7
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    6
    Вес репутации
    27
    Спасибо. Понял буду следить

    Добавлено через 2 часа 19 минут

    интернет виснет. при каждой загрузке и обновлении страницы браузер задумывается будто. открыл фаервол в сетевой активности был процесс svchost.exe в этом процессе использовалось 4 ппорта два из них имели удаленный адрес looser.sell.ru. может я зря паникую? но название чет насторожило
    Последний раз редактировалось evge; 16.09.2010 в 20:59. Причина: Добавлено

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,409
    Вес репутации
    1268
    Для Скайлинка говорят это нормально.

  10. #9
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    6
    Вес репутации
    27
    извините за назоиливость я тока учусь бороться с этой бякой
    вот што выглядел из фаервола:
    процесс <SYSTEM>
    протокол IP
    локальный адрес local:any
    локальный порт n/a

    и еще вот про который я уже писал:
    процесс SVCHOST.EXE
    протокол UDP удаленный адрес looser.cell.ru
    удаленный порт DNS
    Generic Host Process

    если локальный порт не известен есть вероятность што он какойто подозрительный?

  11. #10
    Junior Member Репутация
    Регистрация
    15.09.2010
    Сообщений
    6
    Вес репутации
    27

    наблюдал три дня :)

    наблюдал три дня вроде все нормально. фаервол молчит , антивирусы тоже. Спасибо за помощь

  12. #11
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,409
    Вес репутации
    1268
    - Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите все важные обновления.
    - Установите IE 8 - даже если Вы им не пользуетесь.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) evge, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 05.04.2010, 00:30
    2. процесс trffc.org.exe пытается выйти в Инет
      От HB_union в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 02:57
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 01:52
    4. Как Symantec пытается выйти на рынок анти-шпионского ПО...
      От HATTIFNATTOR в разделе Ложные срабатывания
      Ответов: 4
      Последнее сообщение: 16.01.2006, 00:09
    5. Как Symantec пытается выйти на рынок анти-шпионского ПО...
      От HATTIFNATTOR в разделе Новости компьютерной безопасности
      Ответов: 4
      Последнее сообщение: 16.01.2006, 00:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00761 seconds with 16 queries