Показано с 1 по 14 из 14.

cwdrive32.exe, msvmiode.exe, и поддельный диспетчер задач (заявка № 93342)

  1. #1
    Junior Member Репутация
    Регистрация
    11.12.2010
    Сообщений
    17
    Вес репутации
    27

    Exclamation cwdrive32.exe, msvmiode.exe, и поддельный диспетчер задач

    У меня открываются эти процессы, и нашел поддельный диспетер задач в application data с непонятным именем. Отключается интеренет, до того как не снять эти процессы, а поддельный диспетер задач не удаляеться(.
    И как запускаю интернет, в настоящем диспетчере появляеться много процессов с числовым именем и .exe, после их *работы* и появляется cwdrive32.exe и msvmiode.exe и иконка интернета показывает что он работает, а на самом деле ничего не открываеться не загружаеться и никуда не заходит.
    И лагает мышь, быстро прокручивает страницы, и почему-тоя писал сдезь сообщение и меня отправило на страницу назад!!
    поддельный диспетчер задач - ltzqai.exe

    Помогите поскорей)
    Последний раз редактировалось LainE; 11.12.2010 в 09:43.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew2.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe,C:\RECYCLER\S-1-5-21-6640539641-7839540516-269060513-5425\syscr.exe,explorer.exe,C:\Documents and Settings\Я\Application Data\ltzqai.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew2.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-6640539641-7839540516-269060513-5425\syscr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tjii321');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tjpp2');
     DeleteFile('C:\RECYCLER\S-1-5-21-6640539641-7839540516-269060513-5425\syscr.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew2.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','puda4');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psuu4');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew2');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo3');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew2.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe,C:\RECYCLER\S-1-5-21-6640539641-7839540516-269060513-5425\syscr.exe,explorer.exe,C:\Documents and Settings\Я\Application Data\ltzqai.exe');  
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
     QuarantineFile('C:\WINDOWS\system32\XDva372.sys','');
     QuarantineFile('C:\Documents and Settings\Я\Application Data\ltzqai.exe','');
     DeleteFile('C:\Documents and Settings\Я\Application Data\ltzqai.exe');       
     DeleteFileMask('C:\RECYCLER','*.*',true);    
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  4. #3
    Junior Member Репутация
    Регистрация
    11.12.2010
    Сообщений
    17
    Вес репутации
    27
    Результат загрузки
    Файл сохранён как 101211_101606_quarantine_4d0325366ce2c.zip
    Размер файла 343870
    MD5 d0c924f95f9d4f4cefc863a3dfad6712

    Добавлено через 2 минуты

    ltzqai.exe остался в том же месте... его удалять?
    вроде бы процессы цифры не наблюдались, и cwdrive32.exe, msvmiode.exe тоже.
    Думаю чистка удалась, если что пишу сюда же.

    П.С. Можете ещё помочь с проверкой подлиности виндоус, ничего не виснет, просто не нравиться табличка и черный фон)
    Последний раз редактировалось LainE; 11.12.2010 в 10:18. Причина: Добавлено

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Ждём результаты карантина. Насчёт чистки, советую пока не радоваться, потому что рано - они так просто не уходят. С проверкой подлиности виндоус помочь не можем.

  6. #5
    Junior Member Репутация
    Регистрация
    11.12.2010
    Сообщений
    17
    Вес репутации
    27
    да, и ещё... востановление системы включать и антивирусы?... и я ещё не отключил фаерволы (незнаю что это) и КОМП САМ НЕ ПЕРЕЗАГРУЗИЛСЯ, завис черным экраном (скорей всего фоновым рисунком, т.к. он такой у меня, и осталась табличка проверка подлиности виндоус) и он застыл в таком положении.

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Восстановление включать нужно после окончания лечения. Антивирусы - выключать только на время выполнения скриптов.

  8. #7
    Junior Member Репутация
    Регистрация
    11.12.2010
    Сообщений
    17
    Вес репутации
    27
    все не как не умещаеться в 1 сообщение, у меня есть 2 rundll32.exe находяться 1 в С\виндоус\ситем32 другой в С\виндоус\ситем32\dllcache. и в процесах загружен 1 в пользователе Я (мой пользователь)

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Сделайте новые логи.

  10. #9
    Junior Member Репутация
    Регистрация
    11.12.2010
    Сообщений
    17
    Вес репутации
    27
    интернет выключать?

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    В правилах всё написано.

  12. #11
    Junior Member Репутация
    Регистрация
    11.12.2010
    Сообщений
    17
    Вес репутации
    27
    вот

  13. #12
    Junior Member Репутация
    Регистрация
    11.12.2010
    Сообщений
    17
    Вес репутации
    27
    при запуске симентека появился lucoms~1.ехе ... где то нашел что это почтовый червь

    Добавлено через 37 секунд

    при запуске live update

    Добавлено через 43 секунды

    под пользователем system

    Добавлено через 4 минуты

    и ещё luall.exe тоже запускаеться вместе с ним
    Последний раз редактировалось LainE; 11.12.2010 в 11:08. Причина: Добавлено

  14. #13
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\я\\application data\\ltzqai.exe - Trojan.Win32.Pincav.anqr ( DrWEB: Trojan.DownLoader4.63326, BitDefender: Trojan.Generic.6688162, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
      2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\fjidg.exe - Trojan.Win32.Scar.dhap ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, AVAST4: Win32:Trojan-gen )
      3. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\mpp2g.exe - Trojan.Win32.Scar.dhao ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )
      4. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psyjo3.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, AVAST4: Win32:Trojan-gen )
      5. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psyjo32.exe - Trojan.Win32.Scar.dhan ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, AVAST4: Win32:Trojan-gen )
      6. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew2.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, AVAST4: Win32:Trojan-gen )
      7. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psyu44.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, AVAST4: Win32:Trojan-gen )
      8. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1456\\budau44.exe - Trojan.Win32.Scar.dhar ( DrWEB: Trojan.DownLoader1.48125, BitDefender: Trojan.Generic.KD.86353, AVAST4: Win32:Trojan-gen )
      9. c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan.Win32.VBKrypt.agxv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5258357, AVAST4: Win32:Malware-gen )
      10. c:\\recycler\\s-1-5-21-6640539641-7839540516-269060513-5425\\syscr.exe - P2P-Worm.Win32.Palevo.bjfw ( DrWEB: Trojan.Inject.16038, BitDefender: Trojan.Generic.5389176, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) LainE, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. cwdrive32.exe msvmiode.exe
      От Duxa_sk8 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 17.12.2010, 07:13
    2. cwdrive32.exe , msvmiode.exe , ltzqai.exe и т.д.
      От Nikita212 в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 04.12.2010, 18:30
    3. Ответов: 1
      Последнее сообщение: 01.12.2010, 18:20
    4. Ответов: 5
      Последнее сообщение: 18.10.2010, 16:05
    5. Ответов: 16
      Последнее сообщение: 04.10.2010, 20:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01587 seconds with 16 queries