-
Junior Member
- Вес репутации
- 49
cwdrive32.exe , msvmiode.exe , ltzqai.exe и т.д.
Здравствуйте!
Сегодня заметил на своём компьютере присутствие и активность следующих процессов (вирусов):
- cwdrive32.exe
- msvmiode.exe
- ltzqai.exe
- и всяких разных процессов с численными названиями (аля 82.exe, 84.exe, 34726.exe и т.п.)
Первые два блокируют доступ в Интернет до момента их принудительного убийства через диспетчер задач. Третий - скорее всего подмена оригинального диспетчера задач. Последние - работают буквально в течение полминуты с момента запуска ОС, после чего сменяются на процессы "cwdrive32.exe" и "msvmiode.exe".
Прикладываю логи AVZ и HJT.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте! Сразу предупреждаю - приготовьтесь к долгой и нудной борьбе.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\cwdrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('C:\WINDOWS\system32\Drivers\appdrv01.sys','');
QuarantineFile('C:\WINDOWS\ina32.dll','');
QuarantineFile('C:\Documents and Settings\Никита\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\84.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
DeleteFile('C:\WINDOWS\cwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\Documents and Settings\Никита\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 49
Выполнил оба скрипта. Прислал файл карантина по ссылке над первым сообщением.
А вот с Gmer-ом у меня возникла проблема. Запустил его, он ничего не спрашивая меня начал проверять систему, через некоторое время написал что моя система подверглась изменениям от вредоносных программ и предложил тут же провести полное сканирование системы. Я согласился, сначала всё проходило нормально, но во время проверки процесса (или файла) Explorer.EXE Гмер и Винда напрочь зависли, только мышка работала, даже диспетчер задач не реагировал. Перезагрузил компьютер, запустил Гмер, отказался от полной проверки системы, присылаю также лог Гмера.
-
все таки попробуйте выполнить полную проверку ... вашего лога недостаточно
-
-
Junior Member
- Вес репутации
- 49
Полную проверку в Гмере так и не удаётся выполнить - программа вместе с операционной системой намертво зависают, причём на разных стадиях сканирования. Пробовал провести проверку и в безопасном режиме - та же проблема.
Также, заметил возвращение процессов "cwdrive32.exe" и "msvmiode.exe" в систему (после выполнения двух скриптов в AVZ из второго поста они на некоторое время исчезли, сейчас вернулись).
Также при запуске системы как в обычном, так и в безопасном режиме, почти сразу само по себе открывается окно "Мои документы", причём слева вместо обычной синей панели с типичными задачами для папок и файлов ("Системные задачи", "Другие места", "Подробно" и т.д.) отображается меню "Папки".
Что делать???
P.S. Продолжу лечение компьютера завтра после 14-ти часов по Москве. А сейчас всем спокойной ночи
Последний раз редактировалось Nikita212; 29.11.2010 в 23:07.
-
-
-
Junior Member
- Вес репутации
- 49
День Добрый!
Высылаю лог ComboFix.
Во время начальной стадии проверки системы с помощью ComboFix мне вылетело уведомление об ошибке приложения PEV.cfxxe и что оно будет закрыто (с предложением отправить отчет об ошибке в Майкрософт), я нажал кнопку "Не отправлять" и дальше проверка системы прошла без ошибок.
Процессы "msvmiode.exe" и "cwdrive32.exe" вновь вернулись в систему.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\documents and settings\Никита\Главное меню\Программы\Автозагрузка\cvs32.exe
c:\windows\pss\cvs32.exeStartup
Driver::
vwtmch
pblmvbt
NetSvc::
vwtmch
pblmvbt
Folder::
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Никита^Главное меню^Программы^Автозагрузка^cvs32.exe]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1064:TCP"=-
"6768:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 49
Сделал. Новый отчёт ComboFix прикладываю.
Во время выполнения сканирования в ComboFix опять же вылетела ошибка приложения "PEV.cfxxe", после чего сканирование успешно продолжилось и завершилось. Что может значить данная ошибка?
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
KillAll::
File::
Driver::
Folder::
c:\documents and settings\??????
Registry::
FileLook::
DirLook::
RegLock::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
-
-
Junior Member
- Вес репутации
- 49
Вообще, эта папка - c:\documents and settings\?????? - создавалась браузером Opera из-за некорректной работы с кириллическим именем пользователя, но на всякий случай я выполнил скрипт. Лог прикладываю.
Ещё заметил, что после выполнения всех вскриптов в ComboFix и после автоматической перезагрузки компьютера (после скрипта) очень долго формируется лог проверки (около 4-5 минут), а так же в некоторый момент подготовки лога исчезает рабочий стол и панель задач (остаётся только окно ComboFix и фоновый рисунок рабочего стола).
Во время выполнения сканирования в ComboFix опять же вылетела ошибка приложения "PEV.cfxxe", после чего сканирование успешно продолжилось и завершилось. Что может значить данная ошибка? Это нормально??
Также, после выполнения всех операций, начиная со второго поста этой темы, Винда стала намного дольше грузиться (где-то в 3 раза дольше, чем до лечения вирусов). Это нормально, и как с этим можно справиться?
-
Junior Member
- Вес репутации
- 49
И ещё - что там с карантином, который я присылал?
-
Удалите папку c:\documents and settings\??????
C:\Documents and Settings\Никита\Application Data\ltzqai.exe- Trojan.Win32.Pincav.alvm
C:\WINDOWS\ina32.dll- Trojan.Win32.Cossta.brj
Удалите ComboFix
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 49
Папку удалил, но она сама появляется потом:
Вообще, эта папка - c:\documents and settings\?????? - создавалась браузером Opera из-за некорректной работы с кириллическим именем пользователя
ComboFix удалил.
Процессов и явлений, описанных мной в первом посте, после процедуры чистки не наблюдалось.
-
Junior Member
- Вес репутации
- 49
Теперь система грузится в 3 раза дольше. Также теперь появились какие-то странные лаги во время работы в компе (даже если компьютер только что запустился, ничего не запущено и т.д.) - каждые ~3 секунды компьютер подвисает буквально на долю секунды. Особенно это видно если долго возить мышкой по кругу - заметно, как каждые ~3 секунды мышка подвисает буквально на мгновение. Также это очень мешает в играх.
Что посоветуете для диагностики и исправления двух данных проблем?
До лечения от вирусов подобных проблем не наблюдалось.
-
Ну давайте ещё раз взглянем на логи avz.
Перед этим почистите систему от мусора http://download.piriform.com/ccsetup301.exe
-
-
Junior Member
- Вес репутации
- 49
Вирусы вернулись... :(
Итак, вирусы опять вернулись в мою систему, да ещё и в ещё большем количестве:
- cwdrive32.exe
- msvmiode.exe
- ltzqai.exe
- всякие разные процессы с численными названиями (аля 82.exe, 84.exe, 34726.exe и т.п.)
- теперь при запуске Винды, после окна "Приветствие" (которое кстати тоже висит теперь раз в 5 дольше обычного) не сразу появляется explorer (сначала показывается только фоновый рисунок), а потом вылетает ошибка процесса Explorer.EXE и после этого через некоторое время explorer возвращается к работе.
У меня уже просто опускаются руки...
Новые логи AVZ прикладываю.
-
ОтключитеОбязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\system32\75.exe','');
QuarantineFile('C:\WINDOWS\system32\63.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4576767577-1788570182-120102970-1714\syscr.exe,explorer.exe,C:\Documents and Settings\Никита\Application Data\ltzqai.exe','');
QuarantineFile('C:\Documents and Settings\Никита\Application Data\ltzqai.exe','');
QuarantineFile('c:\windows\system32\86.exe','');
TerminateProcessByName('c:\windows\system32\86.exe');
DeleteFile('c:\windows\system32\86.exe');
DeleteFile('C:\Documents and Settings\Никита\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4576767577-1788570182-120102970-1714\syscr.exe,explorer.exe,C:\Documents and Settings\Никита\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cwdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 49
Скрипты выполнил, не помогло.
Карантин загрузил.
Систему обновил.
Уязвимости устранил.
Логи AVZ и MBAM прикладываю.
Лог HTJ сделаю, если это потребуется - просто на моей машине сканирование компьютера проходит крайне медленно.
Последний раз редактировалось V_Bond; 03.12.2010 в 13:15.
-
Junior Member
- Вес репутации
- 49