Msvmiode.exe и cfdrive32.exe

[ArchitectofRuin]

Здравствуйте, уважаемые хелперы. Проблема заключается в следующем: при проверке антивирусным ПО (в частности, Dr. Web Security Pro и Dr.Web CureIt! последних версий) с последними обновлениями антивирусных баз, антивирус находит такие вирусы: trojan.packed.20986, trojan.inject.10281, trojan.inject.10349, win32.hllw.autoruner.26149 и win32.hllw.shadow.based. Каждый вирус детектируется на системном диске C (всегда одни и те же папки: Documents and settings/username/Local settings/..., в папке system32 , RECYCLER и system volume information (резервном хранилище системы). Вышеуказанные вирусы детектируются ИСКЛЮЧИТЕЛЬНО на системном диске и в нескольких экземплярах.(сканирование других дисков выполнялось, вирусов - не обнаружено). В настройках антивируса стоят метки "зараженные файлы" - лечить, неизлечимые - удалять и прочее вредоносное ПО удалять. Осуществлял проверку при максимальных параметрах обнаружения антивирусом.
Имею вот что, антивирус показывает, что все неизлечимые удалены, вроде все как положено и требует ребут системы. После соглашения на перезагрузку, компьютер успешно перезагружается, а эта "нечисть" снова как ни в чем не бывало, выполняет свои вредоносные манипуляции и вновь в интеллектуальном режиме антивирь их замечает.
Юзаю прогу process explorer, заметил там странные процессы msvmiode.exe и cfdrive32.exe, периодически запускается run32dll.exe и служба msgms.exe(что-то такое).
Последствия вирусов дают о себе знать - это и зависания интернета, его отключение, изменение очертания десктопа. Бывало, что вылезало сообщение об отправление отчета, в сообщение было сказано про Generic Host ..., вообщем, когда оно вылезало - сразу же зависал интернет и дальнейшее его подключение без перезагрузки становится невозможным.
Помогите решить проблему. Заранее благодарен.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\DOCUME~1\KALEID~1\LOCALS~1\Temp\n3ooIXl8.sys','');
 DeleteFile('C:\DOCUME~1\KALEID~1\LOCALS~1\Temp\n3ooIXl8.sys');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Сделайте лог полного сканирования МВАМ

[ArchitectofRuin]

Файл карантина выслал. Лог MBAM прикрепил. Жду результатов. Заранее благодарен.

[olejah]

Удалите в МВАМ всё, кроме -

Код:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

- Повторите лог

[ArchitectofRuin]

Удалить в MBAM все кроме этого кода, который вы мне прописали, так?
P.S а лог какой высылать, лог MBAM, вновь полное сканирование в MBAM делать?

[olejah]

Желательно полное сканирование, эти звери так просто не уходят.

Удалить всё, кроме этих обьектов реестра.

[ArchitectofRuin]

Осуществил полное сканирование, после чего кликнул "показать результаты", снял галочки с тех, которые просили оставить, выделенные удалил. Прикрепляю лог

[Никита Соловьев]

Хорошо. Проблемы наблюдаются?

[ArchitectofRuin]

Кстати говоря, заметил, что восстановились скрытые папки, раньше при клике показывать скрытые папки и файлы - экран обновлялся, а скрытые папки не отображались. Сейчас все показывает. Огромное спасибо за проделанную работу.
Нужны ли снова логи AVZ и hijackthis, чтобы точно узнать, есть ли зараза или нет?? Хотелось бы убедиться, что зараза окончательно вымерла. ЕЩЕ РАЗ ОГРОМНОЕ СПАСИБО ЗА ПРОДЕЛАННЫЙ ТРУД.

Добавлено через 1 минуту

НО вот щас др. веб что-то задетектил. win32.hllw.autorunner. хмм странно. Что скажете?

[Никита Соловьев]

Сделайте virusinfo_syscheck.zip для контрольной проверки

[ArchitectofRuin]

Сделал. Прикрепил.

[olejah]

Msvmiode.exe и cfdrive32.exe - вот этих зверей не видно в процессах?

[ArchitectofRuin]

Сейчас исчезли. Огромнейшее спасибо. Наверно еще посоветуете провести полную проверку компьютера на вирусы. И хотелось бы узнать, опасны процессы такие как: Winampa.exe, библиотека rundll32.exe, msmsgs.exe и wmiprvse.exe? ЕЩе раз превеликие благодарности за оказанную помощь. И с чем была связана ошибка отправления отчета Generic Host process?? и что делают вирусы trojan.avkill trojan.inject trojan.packed и win32.hllw.autoruner?

[olejah]

Рекомендуется -

- Установить Internet-Explorer 8.(даже если Вы его не используете)

- Поставить все последние обновления системы Windows - тут

[ArchitectofRuin]

А по последним логам все нормально?

[olejah]

Да, ничего плохого нет, но - следите за системой, обновляйте её, так как обычно эти звери не уходят так просто, я не зря Вас про процессы спросил. По поводу всего остального можно найти информацию в Гугле.

[ArchitectofRuin]

Большое спасибо, надо сделать ребут и посмотреть, что будет. Как мне кажется - излечено. А на данном этапе этих зверей больше нету?
P.S Огромные благодарности хелперам за все.

[olejah]

По логам - всё удалилось.

[ArchitectofRuin]

Ура! После перезагрузки этих процессов как водой смыло. Спасибо огромнейшее! Сейчас выполню полную проверку антивирем. На данном этапе [Излечено] Спасибо!

Добавлено через 1 час 8 минут

Проверил систему, старых вирусов не нашел. Нашел только 2: trojan.win32.scar....
Проверял AVP Tool.
Вирусы пофиксил. Думаю, что с ними покончено Поскольку уже 2 раза перезагружал систему, подозрительных процессов и явлений не наблюдается
Буду обращаться еще, превеликое спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены