-
Junior Member
- Вес репутации
- 50
Cfdrive32.exe и msvmiode.exe
Здравствуйте, уважаемые хелперы. Вчера, казалось бы проблема ушла. Но сегодня утром при включении комп-ра в списке процессов PExplorer вновь заметил вышеуказанные процессы. Проверил комп-р cвежим CureIt! от Dr.Web (при макс. параметрах обнаружения) в безопасном режиме, обнаружил 3 одинаковых вируса на системном диске: Trojan.Spambot.9106. Наряду с этим, проверял еще и программой AVpTool, тоже находил 1-2 вируса. Насколько я понимаю, эти звери восстанавливаются после ребута комп-ра. В процессе проверки AVPTool при лечении активных угроз выплюнул такое сообщение: C:\Windows\system32\winhttp.exe не является образом программы для Windows NT. Проверьте назначение установленного диска. А также иногда вылезает ошибка Generic Host Process ( ошибка с отправление отчета). Ниже прилагаю логи исследования и скриншот процессов с этой нечистью.
Заранее огромные благодарности.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\??.exe','');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\KaLeiDoskope\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\KaLeiDoskope\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
Сделайте лог GMER
-
-
Junior Member
- Вес репутации
- 50
Файл карантина выслал. Логи сделал, прикрепил ниже. Также подкрепляю скриншот ошибки Generic Host Process.
-
Удалите всё, что нашёл МВАМ. Сделайте новый лог МВАМ
Лог GMER переделайте заново
-
-
Junior Member
- Вес репутации
- 50
Провел полное сканирование обновленным MBAM. Удалил в MBAM зараженные данные. После чего сделал лог MBAM и лог GMER. Ниже подкрепляю.
-
Junior Member
- Вес репутации
- 50
После этих логов перезагрузился и провел еще одно полное сканирование MBAM + сканирование по сист. диску C свежим CureIt! Прикрепляю лог MBAM и скриншот Cure It!
-
-
-
-
-
Junior Member
- Вес репутации
- 50
Сейчас займусь созданием лога ComboFix. Msvmiode.exe и cfdrive32.exe не наблюдаю, что к счастью. За это отдельное спасибо. Вот только теперь мучают win32.hllw.shadow.based, который поражает компьютер 1-2 раза на 4-6 перезагрузок.
-
Junior Member
- Вес репутации
- 50
Лог сделал, прикрепил ниже.
-
Junior Member
- Вес репутации
- 50
И вот очередной лог полного сканирования MBAM:
Помогите, пожалуйста.
Заранее благодарен!
Последний раз редактировалось Никита Соловьев; 19.09.2010 в 16:12.
Причина: объединил
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5170:TCP"=-
NetSvc::
xggaci
dxzowdt
wxplabyn
scsulatu
gghlow
vtdytk
giarkp
jtxbp
wdoxito
haevn
Driver::
xggaci
dxzowdt
wxplabyn
scsulatu
gghlow
vtdytk
giarkp
jtxbp
wdoxito
haevn
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Файл c:\windows\system32\sfcfiles.dll пришлите по правилам
-
-
Junior Member
- Вес репутации
- 50
а где правила отправки файла можно посмотреть?
-
Пришлите файл запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 50
Лог ComboFix прикрепил, файл отправил.
-
Junior Member
- Вес репутации
- 50
Вот еще раз осуществил полное сканирование MBAM. Прилагаю лог и скриншот
-
Junior Member
- Вес репутации
- 50
Мне помогите кто-нибудь их хелперов...
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\kaleidoskope\\application data\\ltzqai.exe - Trojan.Win32.Jorik.Tedroo.j ( DrWEB: Trojan.DownLoader1.22089, BitDefender: Trojan.Generic.4781191, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\cfdrive32.exe - Trojan.Win32.Jorik.SdBot.cr ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.128174, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\msvmiode.exe - Trojan.Win32.Scar.cuqm ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4997527, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\16.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\53.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\55.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\78.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\81.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
- c:\\windows\\system32\\87.exe - P2P-Worm.Win32.Palevo.avxj ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.4771195, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Inject-AII [Trj] )
-