-
Junior Member
- Вес репутации
- 50
Msvmiode.exe и cfdrive32.exe
Здравствуйте, уважаемые хелперы. Проблема заключается в следующем: при проверке антивирусным ПО (в частности, Dr. Web Security Pro и Dr.Web CureIt! последних версий) с последними обновлениями антивирусных баз, антивирус находит такие вирусы: trojan.packed.20986, trojan.inject.10281, trojan.inject.10349, win32.hllw.autoruner.26149 и win32.hllw.shadow.based. Каждый вирус детектируется на системном диске C (всегда одни и те же папки: Documents and settings/username/Local settings/..., в папке system32 , RECYCLER и system volume information (резервном хранилище системы). Вышеуказанные вирусы детектируются ИСКЛЮЧИТЕЛЬНО на системном диске и в нескольких экземплярах.(сканирование других дисков выполнялось, вирусов - не обнаружено). В настройках антивируса стоят метки "зараженные файлы" - лечить, неизлечимые - удалять и прочее вредоносное ПО удалять. Осуществлял проверку при максимальных параметрах обнаружения антивирусом.
Имею вот что, антивирус показывает, что все неизлечимые удалены, вроде все как положено и требует ребут системы. После соглашения на перезагрузку, компьютер успешно перезагружается, а эта "нечисть" снова как ни в чем не бывало, выполняет свои вредоносные манипуляции и вновь в интеллектуальном режиме антивирь их замечает.
Юзаю прогу process explorer, заметил там странные процессы msvmiode.exe и cfdrive32.exe, периодически запускается run32dll.exe и служба msgms.exe(что-то такое).
Последствия вирусов дают о себе знать - это и зависания интернета, его отключение, изменение очертания десктопа. Бывало, что вылезало сообщение об отправление отчета, в сообщение было сказано про Generic Host ..., вообщем, когда оно вылезало - сразу же зависал интернет и дальнейшее его подключение без перезагрузки становится невозможным.
Помогите решить проблему. Заранее благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\KALEID~1\LOCALS~1\Temp\n3ooIXl8.sys','');
DeleteFile('C:\DOCUME~1\KALEID~1\LOCALS~1\Temp\n3ooIXl8.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 50
Файл карантина выслал. Лог MBAM прикрепил. Жду результатов. Заранее благодарен.
-
Удалите в МВАМ всё, кроме -
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
- Повторите лог
-
-
Junior Member
- Вес репутации
- 50
Удалить в MBAM все кроме этого кода, который вы мне прописали, так?
P.S а лог какой высылать, лог MBAM, вновь полное сканирование в MBAM делать?
-
Желательно полное сканирование, эти звери так просто не уходят.
Удалить всё, кроме этих обьектов реестра.
-
-
Junior Member
- Вес репутации
- 50
Осуществил полное сканирование, после чего кликнул "показать результаты", снял галочки с тех, которые просили оставить, выделенные удалил. Прикрепляю лог
-
Хорошо. Проблемы наблюдаются?
-
-
Junior Member
- Вес репутации
- 50
Кстати говоря, заметил, что восстановились скрытые папки, раньше при клике показывать скрытые папки и файлы - экран обновлялся, а скрытые папки не отображались. Сейчас все показывает. Огромное спасибо за проделанную работу.
Нужны ли снова логи AVZ и hijackthis, чтобы точно узнать, есть ли зараза или нет?? Хотелось бы убедиться, что зараза окончательно вымерла. ЕЩЕ РАЗ ОГРОМНОЕ СПАСИБО ЗА ПРОДЕЛАННЫЙ ТРУД.
Добавлено через 1 минуту
НО вот щас др. веб что-то задетектил. win32.hllw.autorunner. хмм странно. Что скажете?
Последний раз редактировалось ArchitectofRuin; 17.09.2010 в 23:33.
Причина: Добавлено
-
Сделайте virusinfo_syscheck.zip для контрольной проверки
-
-
Junior Member
- Вес репутации
- 50
-
Msvmiode.exe и cfdrive32.exe - вот этих зверей не видно в процессах?
-
-
Junior Member
- Вес репутации
- 50
Сейчас исчезли. Огромнейшее спасибо. Наверно еще посоветуете провести полную проверку компьютера на вирусы. И хотелось бы узнать, опасны процессы такие как: Winampa.exe, библиотека rundll32.exe, msmsgs.exe и wmiprvse.exe? ЕЩе раз превеликие благодарности за оказанную помощь. И с чем была связана ошибка отправления отчета Generic Host process?? и что делают вирусы trojan.avkill trojan.inject trojan.packed и win32.hllw.autoruner?
-
Рекомендуется -
- Установить Internet-Explorer 8.(даже если Вы его не используете)
- Поставить все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 50
А по последним логам все нормально?
-
Да, ничего плохого нет, но - следите за системой, обновляйте её, так как обычно эти звери не уходят так просто, я не зря Вас про процессы спросил. По поводу всего остального можно найти информацию в Гугле.
-
-
Junior Member
- Вес репутации
- 50
Большое спасибо, надо сделать ребут и посмотреть, что будет. Как мне кажется - излечено. А на данном этапе этих зверей больше нету?
P.S Огромные благодарности хелперам за все.
-
По логам - всё удалилось.
-
-
Junior Member
- Вес репутации
- 50
Ура! После перезагрузки этих процессов как водой смыло. Спасибо огромнейшее! Сейчас выполню полную проверку антивирем. На данном этапе [Излечено] Спасибо!
Добавлено через 1 час 8 минут
Проверил систему, старых вирусов не нашел. Нашел только 2: trojan.win32.scar....
Проверял AVP Tool.
Вирусы пофиксил. Думаю, что с ними покончено Поскольку уже 2 раза перезагружал систему, подозрительных процессов и явлений не наблюдается
Буду обращаться еще, превеликое спасибо за помощь!
Последний раз редактировалось ArchitectofRuin; 18.09.2010 в 01:29.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-