-
Junior Member
- Вес репутации
- 50
не удаляемый вирус msvmiode
здравствуйте недавно мой нод32 начал выводить сообщения что мой комп атакован но он заблокировал доступ и очистил некоторые файлы сделал полную проверку он не чего не обнаружил при каждом включении внешней линии инета выводиться подобные сообщения
14.11.2010 14:07:37 Фильтр HTTP файл 208.53.183.217/serv5.exe модифицированный Win32/Injector.DNE троянская программа соединение прервано - изолирован K-853D90180F8F4\Рус Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
найдя в инете подобную ситуацию я вручную удалил указанные там файлы типо таких
C:\Documents and Settings\Рус\Application Data\ltzqai.exe
C:\WINDOWS\cfdrive32.exe
вроде все начало работать норм но через пару дней снова такая проблема
C:\WINDOWS\system32\msvmiode
так же он появляеться в автозапуске после удаления и перезагрузки его нет но после включения внешки опять появляется как быть?
Последний раз редактировалось olejah; 14.11.2010 в 15:31.
Причина: убил вредную ссылку
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 50
-
В логах не видно активной заразы, только следы в автозапуске.
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [Advanced DDTML Enable] C:\DOCUME~1\123D~1\LOCALS~1\Temp\0449.exe
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
Перезагрузите компьютер и повторите лог HijackThis.
После SP3 заплатки на систему ставились?
Устанавливайте все обновления безопасности.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
может потому что я их удалял в ручную и на момент сканирования их не было? если повториться что делать ?? сейчас я пофиксил то что сказали вроде все норм
-
Сообщение от
DarkAXE
если повториться что делать ??
Если повторится - обращайтесь. С новыми логами, естественно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Mmw.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7313825947-3643209445-126490154-5980\syscr.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\0NY7IDMR\j[1].exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7313825947-3643209445-126490154-5980\syscr.exe');
DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\0NY7IDMR\j[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
DelCLSID('{6B9228DA-9C15-419e-856C-19E768A13BDC}');
DelCLSID('{34A19196-274E-4D75-9D30-D7A45A0A4178}');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=91700).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
-
Сообщение от
Bratez
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Это.
-
-
Junior Member
- Вес репутации
- 50
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
тож самое
16.11.2010 12:42:47 Защита в режиме реального времени файл C:\Documents and Settings\Рус\Local Settings\Temporary Internet Files\Content.IE5\WIH29HY0\game7[2]._ Win32/SpamTool.Tedroo.AN троянская программа очищен удалением - изолирован K-853D90180F8F4\Рус Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe.
16.11.2010 12:42:46 Защита в режиме реального времени файл C:\Documents and Settings\Рус\Local Settings\Temporary Internet Files\Content.IE5\WIH29HY0\serv[1].exe Win32/TrojanProxy.Ranky троянская программа очищен удалением - изолирован K-853D90180F8F4\Рус Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe.
16.11.2010 12:42:46 Защита в режиме реального времени файл C:\DOCUME~1\123D~1\LOCALS~1\Temp\587.exe Win32/SpamTool.Tedroo.AN троянская программа очищен удалением - изолирован K-853D90180F8F4\Рус Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe.
16.11.2010 12:42:46 Защита в режиме реального времени файл C:\DOCUME~1\123D~1\LOCALS~1\Temp\4088460.exe Win32/TrojanProxy.Ranky троянская программа очищен удалением - изолирован K-853D90180F8F4\Рус Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe.
16.11.2010 12:42:36 Фильтр HTTP файл 208.53.183.46/game7. Win32/SpamTool.Tedroo.AN троянская программа соединение прервано - изолирован K-853D90180F8F4\Рус Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
16.11.2010 12:42:35 Фильтр HTTP файл 208.53.183.218/serv.exe Win32/TrojanProxy.Ranky троянская программа соединение прервано - изолирован K-853D90180F8F4\Рус Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
Последний раз редактировалось olejah; 16.11.2010 в 12:49.
Причина: Деактивировал плохие ссылки
-
Обновления, вышедшие после SP3, устанавливались?
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Удалите всё, что нашёл МВАМ
-
-
Junior Member
- Вес репутации
- 50
и первый рас и второй рас удалил что дальше?
-
-
-
Junior Member
- Вес репутации
- 50
вот при запуске программы CCleaner
18.11.2010 10:26:27 Защита в режиме реального времени файл C:\Documents and Settings\Рус\Local Settings\Temp\18321.exe IRC/SdBot троянская программа очищен удалением - изолирован K-853D90180F8F4\Рус Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Ccleaner\CCleaner.exe.
18.11.2010 10:26:27 Защита в режиме реального времени файл C:\Documents and Settings\Рус\Local Settings\Temp\8295.exe Win32/SpamTool.Tedroo.AN троянская программа очищен удалением - изолирован K-853D90180F8F4\Рус Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Ccleaner\CCleaner.exe.
18.11.2010 10:26:27 Защита в режиме реального времени файл C:\Documents and Settings\Рус\Local Settings\Temporary Internet Files\Content.IE5\QE88EIL1\game7[1]._ Win32/SpamTool.Tedroo.AN троянская программа очищен удалением - изолирован K-853D90180F8F4\Рус Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Ccleaner\CCleaner.exe.
18.11.2010 10:26:27 Защита в режиме реального времени файл C:\Documents and Settings\Рус\Local Settings\Temporary Internet Files\Content.IE5\QE88EIL1\isvs[1]._ IRC/SdBot троянская программа очищен удалением - изолирован K-853D90180F8F4\Рус Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Ccleaner\CCleaner.exe.
-
-