Помогите удалить msvmiode.exe P.S. Я чайник - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Помогите удалить msvmiode.exe P.S. Я чайник (http://forum.oszone.net/showthread.php?t=184934)

Помогите удалить msvmiode.exe P.S. Я чайник

объясните как можно подробней что делать,я переустановил винду раз 20 и нечего полное форматирование не даёт результатов

smock, Привет. :)

Для начала выполните краткие рекомендации и прикрепите к следующему сообщению полученные логи. Читайте по порядку и выполняйте по пунктам, чего будет не понятно, вот справка как это сделать - FAQ Помощи по рекомендациям и советам хелперов

Привет..!:)

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\26.exe','');

 QuarantineFile('C:\WINDOWS\system32\43.exe','');

 QuarantineFile('C:\WINDOWS\system32\78.exe','');

 QuarantineFile('C:\WINDOWS\system32\36.exe','');

 QuarantineFile('C:\WINDOWS\system32\53.exe','');

 QuarantineFile('c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');

 DeleteFile('c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ на адрес quarantine@virusnet.info , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Повторите логи АВЗ..!

вот только мне каждый раз приходиться вырубать вирус в процесах потому что не даёт зайти в интернет

+ пока что не прислали

Удалите при помощи MBAM:

Код:

Зараженные параметры в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Heuristics.Shuriken) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Trojan.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> No action taken.



Объекты реестра заражены:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\smoc\Application Data\ltzqai.exe,explorer.exe,C:\RECYCLER\S-1-5-21-1709060085-9020522543-098097547-9816\syscr.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.



Зараженные папки:

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.



Зараженные файлы:

C:\WINDOWS\system32\msvmiode.exe (Heuristics.Shuriken) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\094.exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\1060613.exe (Trojan.VirTool) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\185.exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\258.exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\281.exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\437.exe (Trojan.VirTool) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\446.exe (Trojan.VirTool) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\751.exe (Trojan.VirTool) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\c57[1].exe (Trojan.VirTool) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\cfdrive30.exe (Trojan.VirTool) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\cfdrive32.exe (Trojan.VirTool) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\lbf[1].exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\lbf[1]_0.exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\lbf[2].exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\ltzqai.exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\ltzqai_0.exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\ltzqai_1.exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\DoctorWeb\Quarantine\ltzqai_2.exe (Worm.Autorun) -> No action taken.

C:\Documents and Settings\smoc\Local Settings\temp\158.exe (Heuristics.Shuriken) -> No action taken.

C:\Documents and Settings\smoc\Local Settings\temp\40961.exe (Heuristics.Shuriken) -> No action taken.

C:\Documents and Settings\smoc\Local Settings\temp\66621.exe (Heuristics.Shuriken) -> No action taken.

C:\Documents and Settings\smoc\Local Settings\temp\801.exe (Heuristics.Shuriken) -> No action taken.

C:\Documents and Settings\smoc\Local Settings\Temporary Internet Files\Content.IE5\O5ENWDQR\lik[1].exe (Heuristics.Shuriken) -> No action taken.

C:\Documents and Settings\smoc\Local Settings\Temporary Internet Files\Content.IE5\O9AB09EZ\lik[1].exe (Heuristics.Shuriken) -> No action taken.

C:\Documents and Settings\smoc\Local Settings\Temporary Internet Files\Content.IE5\SXERK1MV\lik[1].exe (Heuristics.Shuriken) -> No action taken.

C:\RECYCLER\S-1-5-21-1709060085-9020522543-098097547-9816\syscr.exe (Worm.Autorun.B) -> No action taken.

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.

C:\Documents and Settings\smoc\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.

C:\WINDOWS\cfdrive32.exe (Trojan.Agent) -> No action taken.

Ждем результат - quarantine.zip
Повторите логи. И не забудьте лог RSIT....!

объясните куда нажать не могу понять как удалить через мбам и повторить логи через что? и лог rsit новый?

Пожалуйста, читайте здесь

http://virusnet.info/forum/showthread.php?t=353

мне так и не прислали сообщение на счёт карантина и теперь на моём компьютере стала открываться папка мои документы при заходе на профиль.

Цитата:

Цитата smock

мне так и не прислали сообщение на счёт карантина »

подождем..

Цитата:

Цитата smock

и теперь на моём компьютере стала открываться папка мои документы при заходе на профиль. »

это хорошо или плохо?))
вам все понятно по запросу лога RSIT и удаления MBAM или нужны дополнительные пояснения??

на счёт МВАМ тут как бы всё ясно я нажал удалить и он удалил но написал что некоторые файлы не может удалить
А вот что папка мои документы это плохо такого не должно быть я включаю компьютер и она сама открывается я нечего не нажимаю

Цитата:

Цитата smock

А вот что папка мои документы это плохо такого не должно быть я включаю компьютер и она сама открывается я нечего не нажимаю »

Попробуйте использовать инфо из темы http://forum.oszone.net/thread-91647.html

или попробуйте

Скопируйте в блокнот

Код:



Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C\WINDOWS\\system32\\userinit.exe,"



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"PersistBrowsers"word:00000000

сохраните как 1.reg запустите и разрешите добавить в реестр ...

а можно удалить этот вирус как то ещё я просто переустанавливаю виндовс и у меня сёровно вирус не понимаю почему!!

Попробуйте скачать на чистом компьютере любой из из предоставленых загрузочных дисков Dr.Web LiveCD, Лаборатории Касперского, Live CD Vba32 Rescue, Avira GmbH, запишите образ на CD-диск, загрузитесь с него и проверьте компьютер из-под выбраного LiveCD.

а вот если я переустановлю виндовс то что дальше делать у меня на флешке вирус мне с диска в безопасном режиме проверять комп?

smock, Давайте тогда так

Выполняете такой скрипт. Он отключает автозапуск со всех устройств кроме CD\DVD-приводов

Код:

begin

 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 223);

 RebootWindows(true);

end.

Потом вставляете флешку и начинаете проверку, не бойтесь. Но если переустановите, всё равно выполните сперва скрипт, и лишь потом можете вставлять флешку.

у меня вирус всё ровно остался!а вот если я вытащу батарейку и материнки а потом переустановлю виндовс то вирус удалиться?

Цитата:

Цитата smock

у меня вирус всё ровно остался!а вот если я вытащу батарейку и материнки а потом переустановлю виндовс то вирус удалиться? »

абсолютно разные вещи..как соленое и квадратное,
выполните скрипт даный вам Drongo, вставьте флэшку в комп и просканируйте штатным антивирусом

Цитата:

Цитата smock

у меня вирус всё ровно остался! »

как вы это определяете??

что за штатный антивирус
вирус остаётся так как в процесах показываются такие программы как msvmoide.exe и состоящие из цифр типо 47.exe 4535.exe и так далее как только начинаю играть каждые десять минут начинает лагать и включается новый процес из цыфр а через 30 сек исчезает как и лаги я уже не знаю что делать!

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

• Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::



File::

c:\documents and settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6Z4RAZ6X\0[1].exe

c:\documents and settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6Z4RAZ6X\0[2].exe

c:\documents and settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MJO5P7KC\0[1].exe

c:\documents and settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\P3ZEVP3G\0[1].exe

c:\documents and settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\P3ZEVP3G\0[2].exe

c:\windows\system32\02.exe

c:\windows\system32\04.exe

c:\windows\system32\06.exe

c:\windows\system32\07.exe

c:\windows\system32\11.exe

c:\windows\system32\12.exe

c:\windows\system32\13.exe

c:\windows\system32\14.exe

c:\windows\system32\15.exe

c:\windows\system32\16.exe

c:\windows\system32\17.exe

c:\windows\system32\18.exe

c:\windows\system32\21.exe

c:\windows\system32\24.exe

c:\windows\system32\26.exe

c:\windows\system32\27.exe

c:\windows\system32\30.exe

c:\windows\system32\36.exe

c:\windows\system32\42.exe

c:\windows\system32\44.exe

c:\windows\system32\45.exe

c:\windows\system32\46.exe

c:\windows\system32\56.exe

c:\windows\system32\65.exe

c:\windows\system32\66.exe

c:\windows\system32\67.exe

c:\windows\system32\70.exe

c:\windows\system32\73.exe

c:\windows\system32\78.exe

c:\windows\system32\80.exe

c:\windows\system32\83.exe

c:\windows\system32\84.exe

c:\windows\system32\86.exe

c:\program files\Uninstall.exe

c:\program files\install.sss

Driver::



Folder::



Registry::



FileLook::



DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

ComboFix 10-09-24.05 - smoc 25.09.2010 19:13:27.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.2047.1450 [GMT 4:00]
Running from: c:\documents and settings\smoc\Рабочий стол\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\smoc\Application Data\ltzqai.exe
c:\windows\cfdrive32.exe
c:\windows\system32\28.exe
c:\windows\system32\msvmiode.exe

.
((((((((((((((((((((((((( Files Created from 2010-08-25 to 2010-09-25 )))))))))))))))))))))))))))))))
.

2010-09-24 14:24 . 2010-09-24 15:25 -------- d-----w- c:\documents and settings\smoc\Application Data\mIRC
2010-09-24 14:24 . 2010-09-24 15:00 -------- d-----w- c:\program files\mIRC
2010-09-23 22:28 . 2010-09-23 22:28 -------- d-----w- c:\documents and settings\terminator\DoctorWeb
2010-09-23 10:07 . 2010-09-23 10:07 -------- d-----w- c:\program files\SystemRequirementsLab
2010-09-22 09:49 . 2010-09-25 14:38 -------- d-----w- c:\documents and settings\smoc\Application Data\TS3Client
2010-09-22 09:39 . 2010-09-22 09:44 -------- d-----w- c:\documents and settings\smoc\Application Data\WebMoney
2010-09-22 09:37 . 2010-09-22 09:44 -------- d-----w- c:\program files\WebMoney Agent
2010-09-22 09:37 . 2010-09-22 09:46 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-09-22 09:37 . 2010-09-22 09:37 875099 ----a-w- c:\program files\Uninstall.exe
2010-09-22 09:37 . 2010-09-22 09:37 -------- d-----w- c:\program files\resources
2010-09-22 09:37 . 2010-09-22 09:37 -------- d-----w- c:\program files\Agreements
2010-09-22 09:37 . 2010-09-22 09:37 -------- d-----w- c:\program files\misc
2010-09-22 09:37 . 2010-09-22 09:37 -------- d-----w- c:\program files\Sounds
2010-09-22 09:37 . 2010-09-22 09:37 -------- d-----w- c:\program files\Certificates
2010-09-21 20:38 . 2010-09-23 23:07 -------- d-----w- c:\program files\FlashGet
2010-09-21 10:12 . 2010-09-21 10:12 -------- d-----w- c:\documents and settings\NetworkService\Рабочий стол
2010-09-20 03:14 . 2010-09-20 03:14 -------- d-----w- c:\documents and settings\smoc\Application Data\Media Player Classic
2010-09-20 03:14 . 2009-08-16 15:08 178176 ----a-w- c:\windows\system32\unrar.dll
2010-09-20 03:14 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2010-09-20 03:14 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2010-09-20 03:14 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2010-09-20 03:14 . 2009-11-09 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2010-09-20 03:14 . 2010-09-20 03:14 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-09-19 22:51 . 2010-09-19 22:51 -------- d-----w- c:\documents and settings\terminator\Local Settings\Application Data\Yandex
2010-09-19 22:51 . 2010-09-19 22:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Yandex
2010-09-19 22:51 . 2010-09-19 22:51 -------- d-----w- c:\program files\Yandex
2010-09-19 22:51 . 2010-09-19 22:51 -------- d-----w- c:\documents and settings\terminator\Application Data\Yandex
2010-09-19 22:51 . 2010-09-19 22:51 -------- d-----w- c:\documents and settings\terminator\Local Settings\Application Data\Opera
2010-09-19 22:51 . 2010-09-19 22:51 -------- d-----w- c:\documents and settings\terminator\Local Settings\Application Data\Google
2010-09-19 16:50 . 2006-11-14 03:31 33408 ----a-r- c:\windows\system32\drivers\ipgdnd51.sys
2010-09-19 16:50 . 2010-09-19 16:50 -------- d-----w- c:\windows\OEM_ICPLUS
2010-09-19 16:48 . 2004-08-17 12:04 25600 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-09-19 14:49 . 2004-08-03 19:08 26496 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2010-09-19 14:45 . 2010-09-19 14:45 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-09-19 14:29 . 2010-09-24 17:47 -------- d-----w- c:\documents and settings\terminator\Application Data\skypePM
2010-09-19 14:26 . 2010-09-19 14:26 -------- d-----w- c:\documents and settings\terminator\Local Settings\Application Data\Mozilla
2010-09-19 14:17 . 2010-09-24 20:46 -------- d-----w- c:\documents and settings\terminator\Application Data\Skype

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-25 14:58 . 2010-09-19 06:54 -------- d-----w- c:\documents and settings\smoc\Application Data\Skype
2010-09-25 12:45 . 2001-10-20 12:00 49552 ----a-w- c:\windows\system32\perfc019.dat
2010-09-25 12:45 . 2001-10-20 12:00 346452 ----a-w- c:\windows\system32\perfh019.dat
2010-09-25 12:41 . 2010-09-19 06:30 -------- d-----w- c:\program files\Garena
2010-09-25 12:40 . 2010-09-19 06:25 -------- d-----w- c:\documents and settings\smoc\Application Data\uTorrent
2010-09-22 09:37 . 2010-09-22 09:37 1598 ----a-w- c:\program files\install.sss
2010-09-19 16:57 . 2010-09-19 07:01 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-09-19 07:09 . 2010-09-19 07:09 -------- d-----w- c:\documents and settings\All Users\Application Data\NVIDIA
2010-09-19 07:03 . 2010-09-19 05:16 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-19 07:03 . 2010-09-19 07:03 -------- d-----w- c:\program files\Windows Media Connect 2
2010-09-19 07:01 . 2010-09-19 07:01 -------- d-----w- c:\documents and settings\smoc\Application Data\skypePM
2010-09-19 06:58 . 2010-09-19 06:58 -------- d-----w- c:\program files\TeamSpeak 3 Client
2010-09-19 06:54 . 2010-09-19 06:54 -------- d-----w- c:\program files\Common Files\Skype
2010-09-19 06:54 . 2010-09-19 06:54 -------- d-----r- c:\program files\Skype
2010-09-19 06:54 . 2010-09-19 06:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2010-09-19 06:25 . 2010-09-19 06:25 -------- d-----w- c:\program files\uTorrent
2010-09-19 06:19 . 2010-09-19 06:19 -------- d-----w- c:\program files\C-Media 3D Audio
2010-09-19 06:07 . 2010-09-19 06:07 12328 ----a-w- c:\documents and settings\smoc\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-19 06:05 . 2010-09-19 06:05 0 ----a-w- c:\windows\nsreg.dat
2010-09-19 05:56 . 2010-09-19 05:56 -------- d-----w- c:\documents and settings\All Users\Application Data\nView_Profiles
2010-09-19 05:16 . 2010-09-19 05:16 -------- d-----w- c:\program files\InstallShield Installation Information
2010-09-19 05:16 . 2010-09-19 05:16 -------- d-----w- c:\program files\D-Link
2010-09-19 05:05 . 2010-09-19 04:44 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-09-19 04:45 . 2010-09-19 04:45 -------- d-----w- c:\program files\microsoft frontpage
2010-09-19 04:41 . 2010-09-19 04:41 22564 ----a-w- c:\windows\system32\emptyregdb.dat
2010-07-16 12:18 . 2010-07-16 12:18 4789736 ----a-w- c:\program files\WMClient.dll
2010-07-16 12:09 . 2010-07-16 12:09 1508840 ----a-w- c:\program files\WebMoney.exe
2010-04-30 10:15 . 2010-04-30 10:15 206935 ----a-w- c:\program files\interface.zip
2010-04-27 09:20 . 2010-04-27 09:20 247304 ----a-w- c:\program files\gausenum.dll
2009-10-26 08:10 . 2009-10-26 08:10 3451 ----a-w- c:\program files\webmoney.exe.manifest
2009-10-26 08:10 . 2009-10-26 08:10 3450 ----a-w- c:\program files\keeperid.exe.manifest
2009-10-22 13:47 . 2009-10-22 13:47 79384 ----a-w- c:\program files\WMDispatcher.exe
2009-10-22 08:47 . 2009-10-22 08:47 3454 ----a-w- c:\program files\wmdispatcher.exe.manifest
2007-10-23 14:34 . 2007-10-23 14:34 140808 ----a-w- c:\program files\bexth.dll
2007-07-20 11:53 . 2007-07-20 11:53 145 ----a-w- c:\program files\regwmd.bat
2007-02-07 10:56 . 2007-02-07 10:56 1645320 ----a-w- c:\program files\gdiplus.dll
2005-10-27 14:33 . 2005-10-27 14:33 292616 ----a-w- c:\program files\KeeperID.exe
.

------- Sigcheck -------

[-] 2004-09-17 . A975A70FCEFE2A224412214320C89DED . 503808 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-09-25_09.45.55 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-10-20 12:00 . 2010-09-25 09:34 40128 c:\windows\system32\perfc009.dat
+ 2001-10-20 12:00 . 2010-09-25 12:45 40128 c:\windows\system32\perfc009.dat
+ 2001-10-20 12:00 . 2010-09-25 12:45 311740 c:\windows\system32\perfh009.dat
- 2001-10-20 12:00 . 2010-09-25 09:34 311740 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{91397D20-1446-11D4-8AF4-0040CA1127B6}"= "c:\program files\Yandex\YandexBarIE\yndbar.dll" [2010-06-01 10336584]

[HKEY_CLASSES_ROOT\clsid\{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-09-25 328056]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-02-04 23975720]
"Steam"="c:\game\steam\steam.exe" [2010-09-19 1242448]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2009-02-04 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 86016]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-17 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\game\\steam\\Steam.exe"=
"c:\\game\\steam\\steamapps\\smock312\\counter-strike\\hl.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R3 GGSAFERDriver;GGSAFER Driver;\??\c:\program files\Garena\plugins\UI\safedrv.sys --> c:\program files\Garena\plugins\UI\safedrv.sys [?]
S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\smoc\LOCALS~1\Temp\MQUA7.tmp --> c:\docume~1\smoc\LOCALS~1\Temp\MQUA7.tmp [?]
S3 ipgd;ASUS NX1101 Gigabit Ethernet Adapter Driver;c:\windows\system32\drivers\ipgdnd51.sys [19.09.2010 20:50 33408]
.
.
------- Supplementary Scan -------
.
FF - ProfilePath - c:\documents and settings\smoc\Application Data\Mozilla\Firefox\Profiles\qxfpu28r.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.yandex.ru/
FF - prefs.js: network.proxy.type - 0

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-25 19:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\docume~1\smoc\LOCALS~1\Temp\MQUA7.tmp"
.
Completion time: 2010-09-25 19:18:23
ComboFix-quarantined-files.txt 2010-09-25 15:18
ComboFix2.txt 2010-09-25 09:47

Pre-Run: 24*018*907*136 байт свободно
Post-Run: 24*012*951*552 байт свободно

- - End Of File - - 26EE393D9CEF51C56993390B991ACC7B

Что с проблемами ?

с какими проблемами ?

Цитата:

Цитата smock

с какими проблемами ? »

ХМ ...!

А это что ?

Цитата:

Цитата smock

Помогите удалить msvmiode.exe P.S. Я чайник »

ну вроде пока всё в порядке.Спасибо большое.

а что делать с карантином в папке Qoobox ?

smock, Отправьте полученный файл карантина из папки Qoobox на адрес: quarantine@virusnet.info , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Удалите ComboFix

• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.