сладкая парочка cfdrive32.exe и msmvmiode.exe

kordey · 05.10.2010, 22:41

проблема с другим компом.
системе еще месяца нет, ставила зверя, стало обрываться соединение с инетом, при этом окно Соединения недоступно (появляется и тут же исчезает). Malwarebytes обнаружила и удалила cfdrive32.exe и msmvmiode.exe. Сама просмотрела папку system32 и оттуда вычистила, реестр тоже. Но при подключении к инету эта зараза опять появляется.

Скачать hijackthis.log с WebFile.RU
Скачать virusinfo_syscure.zip с WebFile.RU

monte-kristo · 05.10.2010, 22:53

kordey, выполните следующее:

Отключите антивирус/фаервол, интернет;

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\cfdrive32.exe');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('c:\windows\cfdrive32.exe','');
 QuarantineFile('c:\windows\system32\msvmiode.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\ltzqai.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-1425679140-2317448870-944015703-0955\syscr.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1425679140-2317448870-944015703-0955\explorer.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1425679140-2317448870-944015703-0955\explorer.exe');
 DeleteFile('c:\windows\cfdrive32.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('c:\documents and settings\admin\application data\ltzqai.exe');
 DeleteFile('c:\recycler\s-1-5-21-1425679140-2317448870-944015703-0955\syscr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится!

Cкачайте ATF Cleaner http://softsearch.ru/programs/271-72...download.shtml, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Логи повторите по правилам!

У вас сборка?

kordey · 06.10.2010, 00:11

с обновленной базой
Скачать virusinfo_syscure.zip с WebFile.RU

Скачать hijackthis.log с WebFile.RU

да, сборка v.7.12.4

---------- Добавлено в 23:11 ---------- Предыдущее сообщение было написано в 22:58 ----------

возможно лог hijack старый, вот только что сделанный
Скачать hijackthis.log с WebFile.RU

Гарад · 06.10.2010, 07:39

Отключите антивирус/фаервол, интернет;

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe',' ');
 QuarantineFile('C:\WINDOWS\system32\30.exe',' ');
 QuarantineFile('C:\WINDOWS\system32\51.exe',' ');
 QuarantineFile('C:\WINDOWS\system32\drivers\vdizotg2.sys',' ');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1425679140-2317448870-944015703-0955\syscr.exe',' ');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1425679140-2317448870-944015703-0955\syscr.exe');
 DeleteFile('C:\WINDOWS\system32\30.exe');
 DeleteFile('C:\WINDOWS\system32\51.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\vdizotg2.sys');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('TSW',2,3,true);
 RebootWindows(true);
end.

ПК перезагрузится! После перезагрузки повторите логи AVZ и HJT.
Нужно обновить уже систему до SP3.

kordey · 06.10.2010, 14:41

дело в том, что я пробовала ставить обычный пакет sp3 на свою сборку, тормозит все страшно, я восстановилась и забила. А вы бы не могли подсказать, какие обновления по безопасности просто обязательно надо поставить, я бы их по-одному вкорячила сама.

Скачать virusinfo_syscure.zip с WebFile.RU
Скачать hijackthis.log с WebFile.RU

спасибо!

Гарад · 06.10.2010, 14:55

Цитата:

Сообщение от kordey

А вы бы не могли подсказать, какие обновления по безопасности просто обязательно надо поставить, я бы их по-одному вкорячила сама.

Скачайте файл по ссылке: http://exfile.ru/129693, внимательно скопируйте весь текст и в AVZ Файл - Выполнить скрипт, вставьте туда и нажмите выполнить. В папке с AVZ будет avz_log.txt, в нем ссылки на важные обновления.

kordey · 06.10.2010, 15:01

Спасибо большое!

monte-kristo · 06.10.2010, 21:19

kordey, что с проблемой?
P.S Мы случайно не знакомы?

kordey · 16.10.2010, 19:47

проблема успешно решена)

вроде бы не знакомы

monte-kristo · 16.10.2010, 20:15

kordey, точно? Вас зовут случайно не...

05.10.2010, 22:41	#1 (ссылка)
kordey Новичок Регистрация: 01.10.2010 Сообщений: 37 Репутация: 2	сладкая парочка cfdrive32.exe и msmvmiode.exe проблема с другим компом. системе еще месяца нет, ставила зверя, стало обрываться соединение с инетом, при этом окно Соединения недоступно (появляется и тут же исчезает). Malwarebytes обнаружила и удалила cfdrive32.exe и msmvmiode.exe. Сама просмотрела папку system32 и оттуда вычистила, реестр тоже. Но при подключении к инету эта зараза опять появляется. Скачать hijackthis.log с WebFile.RU Скачать virusinfo_syscure.zip с WebFile.RU

05.10.2010, 22:53	#2 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	kordey, выполните следующее: Отключите антивирус/фаервол, интернет; AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\cfdrive32.exe'); TerminateProcessByName('c:\windows\system32\msvmiode.exe'); QuarantineFile('c:\windows\cfdrive32.exe',''); QuarantineFile('c:\windows\system32\msvmiode.exe',''); QuarantineFile('c:\documents and settings\admin\application data\ltzqai.exe',''); QuarantineFile('c:\recycler\s-1-5-21-1425679140-2317448870-944015703-0955\syscr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1425679140-2317448870-944015703-0955\explorer.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1425679140-2317448870-944015703-0955\explorer.exe'); DeleteFile('c:\windows\cfdrive32.exe'); DeleteFile('c:\windows\system32\msvmiode.exe'); DeleteFile('c:\documents and settings\admin\application data\ltzqai.exe'); DeleteFile('c:\recycler\s-1-5-21-1425679140-2317448870-944015703-0955\syscr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end. ПК перезагрузится! Cкачайте ATF Cleaner http://softsearch.ru/programs/271-72...download.shtml, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Логи повторите по правилам! У вас сборка?

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Сладкая парочка cfdrive32.exe и msmvmiode.exe немного другая история	djrive	Безопасность	6	06.10.2010 21:58

06.10.2010, 00:11	#3 (ссылка)
kordey Новичок Регистрация: 01.10.2010 Сообщений: 37 Репутация: 2	с обновленной базой Скачать virusinfo_syscure.zip с WebFile.RU Скачать hijackthis.log с WebFile.RU да, сборка v.7.12.4 ---------- Добавлено в 23:11 ---------- Предыдущее сообщение было написано в 22:58 ---------- возможно лог hijack старый, вот только что сделанный Скачать hijackthis.log с WebFile.RU

06.10.2010, 14:41	#5 (ссылка)
kordey Новичок Регистрация: 01.10.2010 Сообщений: 37 Репутация: 2	дело в том, что я пробовала ставить обычный пакет sp3 на свою сборку, тормозит все страшно, я восстановилась и забила. А вы бы не могли подсказать, какие обновления по безопасности просто обязательно надо поставить, я бы их по-одному вкорячила сама. Скачать virusinfo_syscure.zip с WebFile.RU Скачать hijackthis.log с WebFile.RU спасибо!

06.10.2010, 15:01	#7 (ссылка)
kordey Новичок Регистрация: 01.10.2010 Сообщений: 37 Репутация: 2	Спасибо большое!

06.10.2010, 21:19	#8 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	kordey, что с проблемой? P.S Мы случайно не знакомы?

16.10.2010, 19:47	#9 (ссылка)
kordey Новичок Регистрация: 01.10.2010 Сообщений: 37 Репутация: 2	проблема успешно решена) вроде бы не знакомы

16.10.2010, 20:15	#10 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	kordey, точно? Вас зовут случайно не...

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads