visdrive.exe и другие...

rAyden_83 · 13.04.2011, 11:19

Проблемы с лечением от visdrive.exe, cureit! не помог, хотя и вычислил кучу сопутствующих троянов

логи прилагаются..

http://webfile.ru/5257279
http://webfile.ru/5257281

~Данил~ · 13.04.2011, 12:55

rAyden_83, выполните скрипт в AVZ (Файл -Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\20.exe');
 QuarantineFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('c:\windows\system32\20.exe','');
 DeleteFile('c:\windows\system32\20.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 DeleteFile('C:\WINDOWS\system32\20.exe');
 DeleteFile('C:\WINDOWS\system32\82.exe');
 RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

rAyden_83 · 13.04.2011, 14:01

вроде все работает, спасибо!
http://webfile.ru/5257657

Iljeben · 13.04.2011, 14:18

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\jodrive32.exe','');
 DeleteFile('C:\WINDOWS\jodrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
 DeleteFile('C:\WINDOWS\system32\03.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

rAyden_83 · 14.04.2011, 10:03

вот..
http://webfile.ru/5259788

Iljeben · 14.04.2011, 13:32

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\fvrgmt.exe','');
 DeleteFile('C:\WINDOWS\system32\fvrgmt.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Проблемы остались?

rAyden_83 · 14.04.2011, 15:43

с "левыми" процессами проблем нет, единственное замечание - после загрузки ОС процесс system долго грузит процессор процентов на 30-50. это нормально? раньше такого вроде не было..
лог прилагаю http://webfile.ru/5260507

~Данил~ · 14.04.2011, 16:33

rAyden_83, для контроля сделайте еще вот такой лог http://pchelpforum.ru/showpost.php?p=206554&postcount=5

rAyden_83 · 14.04.2011, 22:16

чот нашел..
http://webfile.ru/5261371

~Данил~ · 14.04.2011, 22:21

rAyden_83, удалите найденное MBAM (оставьте отмеченными ТОЛЬКО эти строчки):

Код:

c:\documents and settings\networkservice\application data\qdtmw.exe (Worm.PalDot.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0LYZKL23\sms[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\MEXJSBFW\sms[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\user\application data\visdrive.exe (Worm.PalDot.Gen) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.

rAyden_83 · 15.04.2011, 07:53

при повторном сканировании строки

c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0LYZKL23\sms[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\MEXJSBFW\sms[1].exe (Worm.Palevo.XGen) -> No action taken.

не обнаружены. остальное удалил, лог быстрого сканирования после удаления: http://webfile.ru/5262055

goredey · 15.04.2011, 08:17

rAyden_83, удалите эти строки

Код:

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wors (Worm.Palevo) -> Value: wors -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Смените все пароли!!

13.04.2011, 11:19	#1 (ссылка)
rAyden_83 Новичок Регистрация: 13.04.2011 Сообщений: 6 Репутация: 0	visdrive.exe и другие... Проблемы с лечением от visdrive.exe, cureit! не помог, хотя и вычислил кучу сопутствующих троянов логи прилагаются.. http://webfile.ru/5257279 http://webfile.ru/5257281

13.04.2011, 14:18	#4 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\jodrive32.exe',''); DeleteFile('C:\WINDOWS\jodrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup'); DeleteFile('C:\WINDOWS\system32\03.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
00.exe 07.exe 53.exe и другие вирусы..	DmitryDrummy	Безопасность	47	07.10.2011 15:44
visdrive.exe	sokol94	Безопасность	14	17.05.2011 20:19
visdrive.exe	ilya88	Безопасность	25	15.04.2011 15:50
visdrive, wjdrive32, umdmgr и прочие *все как здесьhttp://pchelpforum.ru/f26/t51850/	f0rest	Безопасность	15	19.03.2011 22:28
visdrive, wjdrive32, umdmgr и прочие	vlg	Безопасность	3	17.03.2011 21:10
XBMC и другие медиа-серверы.	Aleksey S	Мультимедиа	0	16.02.2011 14:41
Магнитооптические и другие съемные диски	Базаров	Железо	21	15.03.2010 23:31
Одни программы устанавливаются, другие нет!	gisault	Windows XP	5	28.02.2010 20:56
BSOD 0x0000008e и другие	Mikhajlo	Неисправности, настройка	3	16.12.2009 11:55
Nsis error и другие вопросы...	Dizraella	Windows XP	1	28.10.2009 13:51
FAQ: установка нескольких ОС, переход на другие ОС.	iRomul	Операционные системы	0	08.07.2009 16:39
Файрвол COMODO и другие	Exterrior	Безопасность	10	23.04.2009 15:12

13.04.2011, 14:01	#3 (ссылка)
rAyden_83 Новичок Регистрация: 13.04.2011 Сообщений: 6 Репутация: 0	вроде все работает, спасибо! http://webfile.ru/5257657

14.04.2011, 10:03	#5 (ссылка)
rAyden_83 Новичок Регистрация: 13.04.2011 Сообщений: 6 Репутация: 0	вот.. http://webfile.ru/5259788

14.04.2011, 15:43	#7 (ссылка)
rAyden_83 Новичок Регистрация: 13.04.2011 Сообщений: 6 Репутация: 0	с "левыми" процессами проблем нет, единственное замечание - после загрузки ОС процесс system долго грузит процессор процентов на 30-50. это нормально? раньше такого вроде не было.. лог прилагаю http://webfile.ru/5260507

14.04.2011, 16:33	#8 (ссылка)
~Данил~ Эксперт Регистрация: 28.08.2010 Сообщений: 11,078 Записей в блоге: 5 Репутация: 925	rAyden_83, для контроля сделайте еще вот такой лог http://pchelpforum.ru/showpost.php?p=206554&postcount=5

14.04.2011, 22:16	#9 (ссылка)
rAyden_83 Новичок Регистрация: 13.04.2011 Сообщений: 6 Репутация: 0	чот нашел.. http://webfile.ru/5261371

15.04.2011, 07:53	#11 (ссылка)
rAyden_83 Новичок Регистрация: 13.04.2011 Сообщений: 6 Репутация: 0	при повторном сканировании строки c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0LYZKL23\sms[1].exe (Worm.Palevo.XGen) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\MEXJSBFW\sms[1].exe (Worm.Palevo.XGen) -> No action taken. не обнаружены. остальное удалил, лог быстрого сканирования после удаления: http://webfile.ru/5262055

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads