Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Процессы вида <числа>.exe (http://forum.oszone.net/showthread.php?t=193419)

MrEx 08-12-2010 19:32 1561292
Процессы вида <числа>.exe
 
У меня следующая проблема. Сначала в автозапуске появилась программа msvmiode.exe. Я сделал все, как это предлагалось в теме [решено] msvmiode.exe, msj.exe, Dc.exe, однако не помогло, процесс msvmiode.exe все равно иногда выскакивает в диспетчере. Также в процессах периодически появляются вида 103.exe 26.exe, и тому подобное. Надеюсь на Вашу помощь в решении проблемы.

zirreX 08-12-2010 20:46 1561358
Здравствуйте!

Цитата:
Цитата MrEx
Я сделал все, как это предлагалось в теме [решено] msvmiode.exe, msj.exe, Dc.exe, однако не помогло, процесс msvmiode.exe все равно иногда выскакивает в диспетчере. »
А вот это зря. Никогда не выполняйте чужие скрипты, это скорее навредит, чем поможет!!!

Подготовьте логи AVZ и RSIT в соответствии с правилами

MrEx 08-12-2010 21:19 1561388
Вложений: 1
Логи

MrEx 08-12-2010 21:21 1561390
не могу что то прикрепить virusinfo_cure.zip. Может он потому что весит слишком много 2,5 мб?

MrEx 08-12-2010 21:25 1561392
А вот разобрался, не тот файл

zirreX 09-12-2010 00:33 1561512
• Выполните скрипт AVZ
Перед выполнением скрипта отключитесь от интернета и локальной сети, отключите защитное ПО (антивирус, файрволл)!!!
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.0\system32\61.exe');
QuarantineFile('C:\WINDOWS.0\system32\ChCfg.exe','');
QuarantineFile('C:\WINDOWS.0\nigzss.txt','');
QuarantineFile('C:\WINDOWS.0\system32\bvpw.exe','');
QuarantineFile('c:\windows.0\system32\61.exe','');
QuarantineFile('C:\WINDOWS.0\system32\02.exe','');
QuarantineFile('C:\WINDOWS.0\system32\03.exe','');
QuarantineFile('C:\WINDOWS.0\system32\10.exe','');
QuarantineFile('C:\WINDOWS.0\system32\12.exe','');
QuarantineFile('C:\WINDOWS.0\system32\13.exe','');
QuarantineFile('C:\WINDOWS.0\system32\18.exe','');
QuarantineFile('C:\WINDOWS.0\system32\22.exe','');
QuarantineFile('C:\WINDOWS.0\system32\23.exe','');
QuarantineFile('C:\WINDOWS.0\system32\24.exe','');
QuarantineFile('C:\WINDOWS.0\system32\25.exe','');
QuarantineFile('C:\WINDOWS.0\system32\26.exe','');
QuarantineFile('C:\WINDOWS.0\system32\28.exe','');
QuarantineFile('C:\WINDOWS.0\system32\30.exe','');
QuarantineFile('C:\WINDOWS.0\system32\32.exe','');
QuarantineFile('C:\WINDOWS.0\system32\34.exe','');
QuarantineFile('C:\WINDOWS.0\system32\37.exe','');
QuarantineFile('C:\WINDOWS.0\system32\48.exe','');
QuarantineFile('C:\WINDOWS.0\system32\51.exe','');
QuarantineFile('C:\WINDOWS.0\system32\52.exe','');
QuarantineFile('C:\WINDOWS.0\system32\54.exe','');
QuarantineFile('C:\WINDOWS.0\system32\57.exe','');
QuarantineFile('C:\WINDOWS.0\system32\61.exe','');
QuarantineFile('C:\WINDOWS.0\system32\62.exe','');
QuarantineFile('C:\WINDOWS.0\system32\63.exe','');
QuarantineFile('C:\WINDOWS.0\system32\67.exe','');
QuarantineFile('C:\WINDOWS.0\system32\71.exe','');
QuarantineFile('C:\WINDOWS.0\system32\72.exe','');
QuarantineFile('C:\WINDOWS.0\system32\73.exe','');
QuarantineFile('C:\WINDOWS.0\system32\75.exe','');
QuarantineFile('C:\WINDOWS.0\system32\78.exe','');
QuarantineFile('C:\WINDOWS.0\system32\81.exe','');
QuarantineFile('C:\WINDOWS.0\system32\84.exe','');
QuarantineFile('C:\WINDOWS.0\system32\85.exe','');
QuarantineFile('C:\WINDOWS.0\system32\87.exe','');
QuarantineFile('C:\WINDOWS.0\system32\88.exe','');
QuarantineFile('C:\WINDOWS.0\system32\mini.exe','');
QuarantineFile('C:\WINDOWS.0\innounp.exe','');
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Local Settings\Temporary Internet Files\Content.IE5\JCY8YSLH\93scdjdg[1].bh','');
QuarantineFile('C:\WINDOWS.0\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS.0\cwdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0445825091-4605134564-836077120-6051\syscr.exe','');
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Application Data\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3602203988-5519278700-887178979-4004\winmap.exe','');
QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Application Data\oekx.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6437385211-9924855245-879295386-1337\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1009043433-7559330519-261145498-4563\winmap.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1009043433-7559330519-261145498-4563\winmap.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6437385211-9924855245-879295386-1337\syscr.exe');
DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Application Data\oekx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3602203988-5519278700-887178979-4004\winmap.exe');
DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0445825091-4605134564-836077120-6051\syscr.exe');
DeleteFile('C:\WINDOWS.0\cwdrive32.exe');
DeleteFile('C:\WINDOWS.0\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Local Settings\Temporary Internet Files\Content.IE5\JCY8YSLH\93scdjdg[1].bh');
DeleteFile('C:\WINDOWS.0\innounp.exe');
DeleteFile('C:\WINDOWS.0\system32\mini.exe');
DeleteFile('C:\WINDOWS.0\system32\88.exe');
DeleteFile('C:\WINDOWS.0\system32\87.exe');
DeleteFile('C:\WINDOWS.0\system32\85.exe');
DeleteFile('C:\WINDOWS.0\system32\84.exe');
DeleteFile('C:\WINDOWS.0\system32\81.exe');
DeleteFile('C:\WINDOWS.0\system32\78.exe');
DeleteFile('C:\WINDOWS.0\system32\75.exe');
DeleteFile('C:\WINDOWS.0\system32\73.exe');
DeleteFile('C:\WINDOWS.0\system32\72.exe');
DeleteFile('C:\WINDOWS.0\system32\71.exe');
DeleteFile('C:\WINDOWS.0\system32\67.exe');
DeleteFile('C:\WINDOWS.0\system32\63.exe');
DeleteFile('C:\WINDOWS.0\system32\62.exe');
DeleteFile('C:\WINDOWS.0\system32\61.exe');
DeleteFile('C:\WINDOWS.0\system32\57.exe');
DeleteFile('C:\WINDOWS.0\system32\54.exe');
DeleteFile('C:\WINDOWS.0\system32\52.exe');
DeleteFile('C:\WINDOWS.0\system32\51.exe');
DeleteFile('C:\WINDOWS.0\system32\48.exe');
DeleteFile('C:\WINDOWS.0\system32\37.exe');
DeleteFile('C:\WINDOWS.0\system32\34.exe');
DeleteFile('C:\WINDOWS.0\system32\32.exe');
DeleteFile('C:\WINDOWS.0\system32\30.exe');
DeleteFile('C:\WINDOWS.0\system32\28.exe');
DeleteFile('C:\WINDOWS.0\system32\26.exe');
DeleteFile('C:\WINDOWS.0\system32\25.exe');
DeleteFile('C:\WINDOWS.0\system32\24.exe');
DeleteFile('C:\WINDOWS.0\system32\23.exe');
DeleteFile('C:\WINDOWS.0\system32\22.exe');
DeleteFile('C:\WINDOWS.0\system32\18.exe');
DeleteFile('C:\WINDOWS.0\system32\13.exe');
DeleteFile('C:\WINDOWS.0\system32\12.exe');
DeleteFile('C:\WINDOWS.0\system32\10.exe');
DeleteFile('C:\WINDOWS.0\system32\03.exe');
DeleteFile('C:\WINDOWS.0\system32\02.exe');
DeleteFile('c:\windows.0\system32\61.exe');
DeleteFile('C:\WINDOWS.0\system32\bvpw.exe');
DeleteFile('C:\WINDOWS.0\nigzss.txt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Сделайте повторные логи!

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.


Обновите Internet Explorer до восьмой версии даже если им не пользуетесь!

Обновите Adobe Acrobat до актуальной версии или деинсталлируйте!

MrEx 09-12-2010 13:36 1561814
Вложений: 2
Вот логи после выполнения всех операций

zirreX 09-12-2010 15:41 1561914
Отключите:
- Восстановление системы
- Компьютер от интернета/локальной сети
- Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);                                                 
 TerminateProcessByName('c:\windows.0\system32\06.exe');
 TerminateProcessByName('c:\docume~1\admin~1.mic\locals~1\temp\845.exe');
 TerminateProcessByName('c:\recycler\s-1-5-21-1604747999-0250166729-974500019-0045\winmap.exe');
 QuarantineFile('C:\WINDOWS.0\system32\drivers\tcpip.sys.bck','');                                         
 QuarantineFile('C:\System Volume Information\_restore{41690954-532C-4EA2-AE5F-B5C919618CFF}\RP8\A0022783.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\fgtu.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\mini.exe','');                                               
 QuarantineFile('c:\docume~1\admin~1.mic\locals~1\temp\845.exe','');
 QuarantineFile('c:\windows.0\system32\06.exe','');
 DeleteFile('c:\windows.0\system32\06.exe');
 DeleteFile('c:\docume~1\admin~1.mic\locals~1\temp\845.exe');
 DeleteFile('c:\recycler\s-1-5-21-1604747999-0250166729-974500019-0045\winmap.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1179468113-4794191960-730148227-1472\syscr.exe');
 DeleteFile('C:\WINDOWS.0\system32\04.exe');
 DeleteFile('C:\WINDOWS.0\system32\70.exe');
 DeleteFile('C:\WINDOWS.0\system32\71.exe');
 DeleteFile('C:\WINDOWS.0\system32\82.exe');
 DeleteFile('C:\WINDOWS.0\system32\mini.exe');
 DeleteFile('C:\WINDOWS.0\cfdrive32.exe');
 DeleteFile('C:\System Volume Information\_restore{41690954-532C-4EA2-AE5F-B5C919618CFF}\RP8\A0022783.exe');
 DeleteFile('C:\WINDOWS.0\system32\fgtu.exe');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F368B1\Application Data\oekx.exe');                 
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(5);
 RebootWindows(true);                                             
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Сделайте повторные логи AVZ и RSIT
Сдедайте повторное сканирование MBAM и прикрепите лог.


Время: 09:49.

Время: 09:49.
© OSzone.net 2001-