-
Junior Member
- Вес репутации
- 50
И снова msvmiode, помогите избавиться
дня три назад нарисовалась такая проблемка, при соединеннии с интернетом после некоторого времени всё становится насмерть. Опера пишет ошибка внутренней связи и прочее в этом же духе. Хотя обмен идёт и трафик присутствует. С помощью An Vir Task Manager удалось вычислить вредителя, но вот убить самостоятельно так и не смог, даже пелопатив весь форум всё таки понял, что без вашей помощи никак. Вот логи AVZ и Hijak
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Сергей\Application Data\xcjv.exe','');
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3045187824-1363108943-489363156-8985\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3045187824-1363108943-489363156-8985\syscr.exe');
DeleteFile('C:\Documents and Settings\Сергей\Application Data\xcjv.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\Documents and Settings\Сергей\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Спасибо после выполнения скриптов зловреды пока пропали, но есть вопрос, а не попали они на флешку, пока компьютер болел, флешка в нём присутствовала, сейчас пока на столе лежит, но когдато и снова в комп попадёт. Нужен совет как полечить её не заразившись снова. И вот запрошенные логи.
-
если на флешке нет нужной информации её можно отформатировать просто...
Если есть - сделайте логи MBAM и virusinfo_syscure.zip со вставленной флешкой.
-
-
Junior Member
- Вес репутации
- 50
дело в том что есть такая инфа, не успел вовремя скинуть. Проверил AVZ Hijack, вроде ничего не находят, но не уверен, вот логи MBAM и AVZ
-
Чисто.
Выполните процедуру, описанную здесь
Установите SP3, IE8 + все критические обновления.
-
-
Junior Member
- Вес репутации
- 50
Всё проблему можно считать закрытой. Большое спасибо всем за помощь.
-
Junior Member
- Вес репутации
- 50
Я прошу прощения, но стоило только успокоиться и всё началось снова. Видно сильно поторопился с выводами. выкладываю логи снова, правда после проверки Hijack ом я самостоятельно пофиксил те строки где эти гады упоминались, может ненадо было, но разозлился сильно. В общем на ваше обозрение всё что у меня творится
-
-
-
Junior Member
- Вес репутации
- 50
-
- Замените файл c:\windows\system32\msgsvc.dll на чистый из дистрибутива.
- Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
Ignore:: C:\WINDOWS\system32\drivers\afd.sys
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
----------------------------------------------------------------------------------------------
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\msvmiode.exe
c:\windows\cfdrive32.exe
Driver::
NetSvc::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
Долго возился с заменой dll. Никак не получалось, после небольшого шаманского танца, всё же уговорил. Вот новый лог Combofix.
-
-
-
Junior Member
- Вес репутации
- 50
Не хочу снова оказаться болтуном, но пока в процессах ничего подозрительного не вижу, хотя в прошлый раз тоже так случилось, вылезли то они только на другой день. Поэтому пока подожду рапортовать об успехах, пуганая ворона она...
Да и ещё теперьс другими проблемками надо разобраться, после лечения пропала языковая панель, гдето я здесь уже встречал подобную проблемку, решается в принципе, и ещё USB модем с пом которого инет работает стал нечётко подключаться, т.е. подключение как бы происходит, но обмен не идёт, после перезагрузки компьютера, всё вроде восстанавливается и на сессию всё работает. Возможно в ходе лечения какието дрова покосились или ещё чего, пока ещё не понял.
-
-
-
Junior Member
- Вес репутации
- 50
Combofix удалил, но проблемы это не решило, надо копать дальше, я здесь гдето читал что какой-то процесс может быть не запущен, сразу ненадо было атеперь найти возможно проблематично будет. буду искать
-
Обычно помогает вернуть панель ручной запуск процесса CTFMON.EXE (исполняемый файл находится в папке System32)
-
-
Junior Member
- Вес репутации
- 50
Да, помогло, спасибо, ещё проблемка нужно удалить Agnitum, но при попытке открыть через панель управления установка и удаление программ список программ, комп долго думает, но окошко остается девственно чистым, никаких попыток что-то там отобразить не происходит. В общем-то можно воспользоваться программой от стороннего производителя, но всё таки хочется поправить свои покосившиеся окошки.
-
Иногда такое бывает... Попробуйте подождать
-
-
Junior Member
- Вес репутации
- 50
в общем так пока и поступлю, тем более пока лечился поднакопилось работёнки, нужно подразгрестись