msvmiode.exe + цифровые exe не дают покоя

Сейчас посмотрим.

Здравствуйте creative84,

Проверьте файл c:\docume~1\$$$\locals~1\temp\_ir_tu2_temp_0\irzip.lmd на Virustotale (http://www.virustotal.com/) Ссылку на результат прикрепите в следующем сообщение.


•У вас старая версия HiJackThis ( 2.0.2). Скачайте HiJackThis(2.0.4) (http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe). Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cwdrive32.exe
F3 - REG:win.ini: load=???
F3 - REG:win.ini: run=???

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\cwdrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\documents and settings\$$$\application data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
QuarantineFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll','');
QuarantineFile('C:\Program Files\Common Files\AdobeARMS.exe','');
QuarantineFile('C:\WINDOWS\system32\48.exe','');
QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP38\A0023999.exe','');
QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP28\A0019066.exe','');
QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP19\A0012703.exe','');
QuarantineFile('c:\recycler\s-1-5-21-9144973525-0824937566-791162625-6846\syscr.exe','');
DeleteFile('C:\WINDOWS\cwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll');
DeleteFile('c:\recycler\s-1-5-21-9144973525-0824937566-791162625-6846\syscr.ex');
DeleteFile('c:\documents and settings\$$$\application data\ltzqai.exe');
DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP19\A0012703.exe');
DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP28\A0019066.exe');
DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP38\A0023999.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\Program Files\Common Files\AdobeARMS.exe');
DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Для отмены автозапуска выполните скрипт:
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
end.

Повторите логи.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Скачайте RSIT (http://www.virusnet.info/random/RSIT.exe) или c зеркала (http://images.malwareremoval.com/random/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Внимание:
1. Обновите Windows XP SP 2 до SP3 ссылка (http://search.microsoft.com/results.aspx?mkt=ru-ru&setlang=ru-ru&q=sp3&form=MSSBCUS) по требуется повторная активация.
2. Поменяйте все пароли.

всё выполнил. посмотрите

Удалите все что нашел МБАМ.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\vdqyndqx.sys','');
QuarantineFile('C:\Documents and Settings\$$$\Application Data\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\219.exe','');
QuarantineFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\7653.exe','');
QuarantineFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\8130513.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\jbcbtqy.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\vdqyndqx.sys');
DeleteFile('C:\Documents and Settings\$$$\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\System32\drivers\jbcbtqy.sys');
DeleteFile('C:\WINDOWS\cwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\219.exe');
DeleteFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\7653.exe');
DeleteFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\8130513.exe');
BC_ImportAll;
ExecuteSysClean;
BC_QrSvc('nxcskux');
BC_DeleteSvc('nxcskux');
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

Повторите логи.

Что спроблемой?

Обновите Windows XP SP 2 до SP3 ссылка (http://search.microsoft.com/results.aspx?mkt=ru-ru&setlang=ru-ru&q=sp3&form=MSSBCUS) по требуется повторная активация.

Все выполнил, проблема осталась. Вроде сначала затишье, а потом снова начинается

Повторите логи. »

Логи AVZ

Откуда то пролазят цифровые exe. Где то, видимо, дыра. Потому что лечишь, удаляешь , а они на след. день снова. SP2 до 3 не обновляю из возможной блокировки.

Что посоветуете?

Кто-нибудь ответит?

Что посоветуете? »
Подготовьте логи AVZ и RSIT.

Установите Service Pack 3, иначе лечить бесполезно!

Здравствуйте. Посмотрите, пожалуйста, логи. Только что обновился с SP2 до SP3

Добрый вечер!Подготовьте лог ComboFix.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

• Внимание! Если у вас установлен Webmoney Keeper - сохраните ключи в файл!

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

Лог ComboFix.txt - посмотрите

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
C:\WINDOWS\gwdrive32.exe
C:\DOCUME~1\$$$\LOCALS~1\Temp\8130513.exe
C:\DOCUME~1\$$$\LOCALS~1\Temp\7653.exe
C:\DOCUME~1\$$$\LOCALS~1\Temp\219.exe
C:\DOCUME~1\$$$\LOCALS~1\Temp\4844.exe
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
c:\windows\cwdrive32.exe
c:\windows\system32\msvmiode.exe


Driver::

Folder::


Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Driver Setup]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSODESNV7]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\12CFG214-K641-12SF-N85P]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"C:\DOCUME~1\$$$\LOCALS~1\Temp\8130513.exe"=-
"C:\DOCUME~1\$$$\LOCALS~1\Temp\7653.exe"=-
"C:\DOCUME~1\$$$\LOCALS~1\Temp\219.exe"=-
"C:\DOCUME~1\$$$\LOCALS~1\Temp\4844.exe"=-


FileLook::

DirLook::


FCopy::



После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

• Пофиксите в HiJackThis (http://www.forum.oszone.net/post-1430293-2.html)
Отметьте галочками указанные строки и нажмите Fix Checked.
F3 - REG:win.ini: load=????
F3 - REG:win.ini: run=????

Подготовьте лог RSIT.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Обновите Adobe Reader до последней версии (http://get.adobe.com/reader/).

Nod32 2.7 - версия морально устарела.

Выполнил. ComboFix .Больше отчетов выдавать он не захотел. Решил вручную проверить наличие указанных файлов в тексте. Ни одного обнаружено не было. Чувствуется, что система стало работать как новая. Автозагрузка обновилась. Раньше выдавала ошибку. В папке Local порядок. Ничего подозрительного в системе теперь не нахожу.

Больше зловредов в вашей системе не вижу.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Лог ComboFix подготовьте по инструкции.
Пожалуйста не пренебрегайте правилами, отключайте ваш антивирус на время работы ComboFix.