Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

cwdrive32.exe , msvmiode.exe , ltzqai.exe и т.д. (заявка № 92679)

  1. #1
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27

    Exclamation cwdrive32.exe , msvmiode.exe , ltzqai.exe и т.д.

    Здравствуйте!

    Сегодня заметил на своём компьютере присутствие и активность следующих процессов (вирусов):
    • cwdrive32.exe
    • msvmiode.exe
    • ltzqai.exe
    • и всяких разных процессов с численными названиями (аля 82.exe, 84.exe, 34726.exe и т.п.)


    Первые два блокируют доступ в Интернет до момента их принудительного убийства через диспетчер задач. Третий - скорее всего подмена оригинального диспетчера задач. Последние - работают буквально в течение полминуты с момента запуска ОС, после чего сменяются на процессы "cwdrive32.exe" и "msvmiode.exe".

    Прикладываю логи AVZ и HJT.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Здравствуйте! Сразу предупреждаю - приготовьтесь к долгой и нудной борьбе.

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\cwdrive32.exe');
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');
     QuarantineFile('C:\WINDOWS\system32\Drivers\appdrv01.sys','');
     QuarantineFile('C:\WINDOWS\ina32.dll','');
     QuarantineFile('C:\Documents and Settings\Никита\Application Data\ltzqai.exe','');
     QuarantineFile('C:\WINDOWS\system32\84.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
     DeleteFile('C:\WINDOWS\cwdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\84.exe');
     DeleteFile('C:\WINDOWS\system32\82.exe');
     DeleteFile('C:\WINDOWS\system32\33.exe');
     DeleteFile('C:\WINDOWS\system32\28.exe');
     DeleteFile('C:\Documents and Settings\Никита\Application Data\ltzqai.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');  
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(8);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27
    Выполнил оба скрипта. Прислал файл карантина по ссылке над первым сообщением.

    А вот с Gmer-ом у меня возникла проблема. Запустил его, он ничего не спрашивая меня начал проверять систему, через некоторое время написал что моя система подверглась изменениям от вредоносных программ и предложил тут же провести полное сканирование системы. Я согласился, сначала всё проходило нормально, но во время проверки процесса (или файла) Explorer.EXE Гмер и Винда напрочь зависли, только мышка работала, даже диспетчер задач не реагировал. Перезагрузил компьютер, запустил Гмер, отказался от полной проверки системы, присылаю также лог Гмера.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    все таки попробуйте выполнить полную проверку ... вашего лога недостаточно

  6. #5
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27
    Полную проверку в Гмере так и не удаётся выполнить - программа вместе с операционной системой намертво зависают, причём на разных стадиях сканирования. Пробовал провести проверку и в безопасном режиме - та же проблема.

    Также, заметил возвращение процессов "cwdrive32.exe" и "msvmiode.exe" в систему (после выполнения двух скриптов в AVZ из второго поста они на некоторое время исчезли, сейчас вернулись).

    Также при запуске системы как в обычном, так и в безопасном режиме, почти сразу само по себе открывается окно "Мои документы", причём слева вместо обычной синей панели с типичными задачами для папок и файлов ("Системные задачи", "Другие места", "Подробно" и т.д.) отображается меню "Папки".

    Что делать???

    P.S. Продолжу лечение компьютера завтра после 14-ти часов по Москве. А сейчас всем спокойной ночи
    Последний раз редактировалось Nikita212; 29.11.2010 в 23:07.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - сделайте лог Combofix

  8. #7
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27
    День Добрый!

    Высылаю лог ComboFix.

    Во время начальной стадии проверки системы с помощью ComboFix мне вылетело уведомление об ошибке приложения PEV.cfxxe и что оно будет закрыто (с предложением отправить отчет об ошибке в Майкрософт), я нажал кнопку "Не отправлять" и дальше проверка системы прошла без ошибок.

    Процессы "msvmiode.exe" и "cwdrive32.exe" вновь вернулись в систему.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\documents and settings\Никита\Главное меню\Программы\Автозагрузка\cvs32.exe
    c:\windows\pss\cvs32.exeStartup
    
    Driver::
    vwtmch
    pblmvbt
    
    NetSvc::
    vwtmch
    pblmvbt
    
    Folder::
    
    Registry::
    [-HKLM\~\startupfolder\C:^Documents and Settings^Никита^Главное меню^Программы^Автозагрузка^cvs32.exe]
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1064:TCP"=-
    "6768:TCP"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27
    Сделал. Новый отчёт ComboFix прикладываю.

    Во время выполнения сканирования в ComboFix опять же вылетела ошибка приложения "PEV.cfxxe", после чего сканирование успешно продолжилось и завершилось. Что может значить данная ошибка?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    временно выключите антивирус, firewall и другое защитное программное обеспечение
    Код:
    KillAll:: 
    
    File::
    
    Driver::
    
    Folder::
    c:\documents and settings\??????
    Registry::
    
    FileLook::
    
    DirLook::
    
    RegLock::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27
    Вообще, эта папка - c:\documents and settings\?????? - создавалась браузером Opera из-за некорректной работы с кириллическим именем пользователя, но на всякий случай я выполнил скрипт. Лог прикладываю.
    Ещё заметил, что после выполнения всех вскриптов в ComboFix и после автоматической перезагрузки компьютера (после скрипта) очень долго формируется лог проверки (около 4-5 минут), а так же в некоторый момент подготовки лога исчезает рабочий стол и панель задач (остаётся только окно ComboFix и фоновый рисунок рабочего стола).

    Во время выполнения сканирования в ComboFix опять же вылетела ошибка приложения "PEV.cfxxe", после чего сканирование успешно продолжилось и завершилось. Что может значить данная ошибка? Это нормально??
    Также, после выполнения всех операций, начиная со второго поста этой темы, Винда стала намного дольше грузиться (где-то в 3 раза дольше, чем до лечения вирусов). Это нормально, и как с этим можно справиться?

  13. #12
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27
    И ещё - что там с карантином, который я присылал?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Удалите папку c:\documents and settings\??????

    C:\Documents and Settings\Никита\Application Data\ltzqai.exe- Trojan.Win32.Pincav.alvm
    C:\WINDOWS\ina32.dll- Trojan.Win32.Cossta.brj

    Удалите ComboFix


    Что с проблемой?

  15. #14
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27
    Папку удалил, но она сама появляется потом:
    Вообще, эта папка - c:\documents and settings\?????? - создавалась браузером Opera из-за некорректной работы с кириллическим именем пользователя
    ComboFix удалил.

    Процессов и явлений, описанных мной в первом посте, после процедуры чистки не наблюдалось.

  16. #15
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27
    Теперь система грузится в 3 раза дольше. Также теперь появились какие-то странные лаги во время работы в компе (даже если компьютер только что запустился, ничего не запущено и т.д.) - каждые ~3 секунды компьютер подвисает буквально на долю секунды. Особенно это видно если долго возить мышкой по кругу - заметно, как каждые ~3 секунды мышка подвисает буквально на мгновение. Также это очень мешает в играх.

    Что посоветуете для диагностики и исправления двух данных проблем?
    До лечения от вирусов подобных проблем не наблюдалось.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Ну давайте ещё раз взглянем на логи avz.
    Перед этим почистите систему от мусора http://download.piriform.com/ccsetup301.exe

  18. #17
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27

    Вирусы вернулись... :(

    Итак, вирусы опять вернулись в мою систему, да ещё и в ещё большем количестве:

    • cwdrive32.exe
    • msvmiode.exe
    • ltzqai.exe
    • всякие разные процессы с численными названиями (аля 82.exe, 84.exe, 34726.exe и т.п.)
    • теперь при запуске Винды, после окна "Приветствие" (которое кстати тоже висит теперь раз в 5 дольше обычного) не сразу появляется explorer (сначала показывается только фоновый рисунок), а потом вылетает ошибка процесса Explorer.EXE и после этого через некоторое время explorer возвращается к работе.


    У меня уже просто опускаются руки...

    Новые логи AVZ прикладываю.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    ОтключитеОбязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\WINDOWS\system32\75.exe','');
     QuarantineFile('C:\WINDOWS\system32\63.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4576767577-1788570182-120102970-1714\syscr.exe,explorer.exe,C:\Documents and Settings\Никита\Application Data\ltzqai.exe','');
     QuarantineFile('C:\Documents and Settings\Никита\Application Data\ltzqai.exe','');
     QuarantineFile('c:\windows\system32\86.exe','');
     TerminateProcessByName('c:\windows\system32\86.exe');
     DeleteFile('c:\windows\system32\86.exe');
     DeleteFile('C:\Documents and Settings\Никита\Application Data\ltzqai.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-4576767577-1788570182-120102970-1714\syscr.exe,explorer.exe,C:\Documents and Settings\Никита\Application Data\ltzqai.exe');
     DeleteFile('C:\WINDOWS\cwdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\63.exe');
     DeleteFile('C:\WINDOWS\system32\75.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.


    - Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  20. #19
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27
    Скрипты выполнил, не помогло.
    Карантин загрузил.
    Систему обновил.
    Уязвимости устранил.
    Логи AVZ и MBAM прикладываю.
    Лог HTJ сделаю, если это потребуется - просто на моей машине сканирование компьютера проходит крайне медленно.
    Последний раз редактировалось V_Bond; 03.12.2010 в 13:15.

  21. #20
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    27
    up.

  • Уважаемый(ая) Nikita212, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. cwdrive32.exe msvmiode.exe
      От Duxa_sk8 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 17.12.2010, 07:13
    2. Ответов: 12
      Последнее сообщение: 16.12.2010, 01:57
    3. не удаляются вирусы cwdrive32.exe и msvmiode (заявка №42392)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 14.12.2010, 18:00
    4. Ответов: 13
      Последнее сообщение: 12.12.2010, 12:32
    5. Ответов: 1
      Последнее сообщение: 01.12.2010, 18:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01294 seconds with 16 queries