-
Junior Member
- Вес репутации
- 54
Как вылечить msvmiode.exe!??
Здравствуйте, некоторое время на компьютере стоял dr.web без лицензии, снес! скорее всего тоже заражен чем-либо!
По теме:
прошелся в безопасном режиме каспером и web-ом, как описано на форуме. вот что нашел (множество зараженных файлов):
Trojan.Win32.Pincav.aqne
Jorik.Tedroo.K
Worn.win32.AutoIt.xl
P2P-Worn.win32.Palevo.avxo
P2P-Worn.win32.Palevo.avke
HEUR:Win32.Generic
Trojan.Win32.Joric.SDBot.dh
А вот от msvmiode.exe избавиться пока не смог, не рискую писать самостоятельно скрипты, опыта просто нет!
Просто снести как обычно ОС не могу, много уж нужных программ!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ выполните скрипт в безопасном режиме работы операционной системы:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('C:\WINDOWS\cfdrive32.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-6701823362-4223419273-887130565-2389\syscr.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6701823362-4223419273-887130565-2389\syscr.exe,C:\Documents and Settings\admin\Application Data\ltzqai.exe,explorer.exe','');
QuarantineFile('C:\Documents and Settings\admin\Application Data\ltzqai.exe','');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\admin\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6701823362-4223419273-887130565-2389\syscr.exe,C:\Documents and Settings\admin\Application Data\ltzqai.exe,explorer.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\RECYCLER\S-1-5-21-6701823362-4223419273-887130565-2389\syscr.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(8);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\SISNIC','EventMessageFile','C:\WINDOWS\System32\netevent.dll');
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
Как вылечить msvmiode.exe (продолжение1)!??
Выполнил скрипты, AVPTool и dr.web cureIt не проходил!
После выполнения скриптов сетевые соединения пропали в сетевом окружении (две сетевые: мать и в слоте)! чудеса в диспетчере оборудования, скрин прикрепить? да еще: открывается папка мои документы в обозреватиле после перезагрузки, не зависимо в какой папке был перед перезагрузкой!
Высылаю еще раз логи:
-
В AVZ выполните скрипт в безопасном режиме работы операционной системы:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-6701823362-4223419273-887130565-2389\syscr.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-6701823362-4223419273-887130565-2389\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6701823362-4223419273-887130565-2389\syscr.exe,explorer.exe,C:\Documents and Settings\admin\Application Data\ltzqai.exe,Explorer.exe');
DeleteFile('C:\Documents and Settings\admin\Application Data\ltzqai.exe,Explorer.exe');
DeleteFile('C:\Documents and Settings\admin\Application Data\ltzqai.exe');
DeleteFileMask('C:\RECYCLER', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(8);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите из обычного режима!
Paula rhei.
Поддержать проект можно тут
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Как вылечить msvmiode.exe!??
выполнил скрипт, потом в безопасном режиме удалил папку bootwiz с фаулом syscr.exe
Потом заглянул в диспетчер задач:
msvmiode.exe и cfdrive32.exe запущены!
Завершил вручную и запустил самый первый скрипт в обычном режиме
теперь вроде пока их нет!
выполнил второй скрипт для создания карантина quarantine.zip.
Просканировал AVZ в безопасном режиме.
Сделал логи в обычном режиме
запустил hijackthis
запустил программу mbam в обычноми режиме логи тут же.
-
Junior Member
- Вес репутации
- 54
Как вылечить msvmiode.exe!??
Карантин отсылал ранее, правда ошибка отправки была, повторно ругался, типа загружен! Надеюсь, все же файл карантина ушёл!
-
Победа. В логе - чисто.
В AVZ - Файл - Мастер поиска и устранения проблем - Системные проблемы - Все проблемы - Пуск
Отметить следующие пункты и нажать кнопку "Исправить":
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
Как вылечить msvmiode.exe!??
Здравствуйте, спасибо вроде все летает!
сделал всё как велено ( и еще backup!)
А от себя совет от бывалого программиста: на всех флешках и свлих дисках созданы ПАПКИ с файлами(любое имя) autorun.inf и autorun.exe
с такой флешкой работал вот на этом зараженном компе со своим ноутом! Не перенес вирусов! хотя раз взял другую флешку без данных файлов и конечно сразу вирус записал себя на флешку! Вот такая тонкость уже наверное народная!
PS. странно но обновление flash player не устранило ошибки в последнем логе!!!!!
-
Это зависит от того с какого браузера вы скачивали обновление. Скачайте его через IE, сохраните на диск. Закройте IE, запустите инсталлятор. Все.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
Как вылечить msvmiode.exe!??
Спасибо, скачивал из Ореra... проверю обязательно!
Большое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\ltzqai.exe - Trojan.Win32.Pincav.aifv ( DrWEB: Trojan.DownLoader1.25490, BitDefender: Trojan.Generic.4986375, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-6701823362-4223419273-887130565-2389\\syscr.exe - P2P-Worm.Win32.Palevo.awhb ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Generic.5222474, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\cfdrive32.exe - Trojan.Win32.Jorik.SdBot.kc ( DrWEB: Trojan.AVKill.2, BitDefender: Trojan.Generic.5069227, NOD32: IRC/SdBot trojan, AVAST4: Win32:Rebhip-AC [Trj] )
- c:\\windows\\system32\\msvmiode.exe - Trojan-Dropper.Win32.VB.aquf ( DrWEB: Trojan.Siggen.465, BitDefender: Trojan.Generic.KDV.45318, AVAST4: Win32:Rebhip-AC [Trj] )
- c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.fgs ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Swizzor.16638, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Rebhip-AC [Trj] )
-