Страница 1 из 1

Trojan.Inject.8456 или msmcls64.exe

СообщениеДобавлено: 24 мар 2010 15:23
Эл Брегг
Переустановил Винду, так как тормозить стала жутко. Поставил Доктор Веб, при каждом запуске компа выдает сообщение о вирусе - msmcls64.exe заблокирован. Смотрю в диспетчере задач - процесс все равно висит. Иногда появляются процессы, которые называются трехзначным числом - вроде 613.exe. Полную проверку проводил не раз - что-то находит, лечит, именует это как Trojan.Inject.8456 (тут могу ошибаться - точно не помню). Так же проверял CureIt (на случай, если Доктор Веб уже поломатый), тоже что-то находил, и тоже ругался на файл msmcls64.exe. Тем не менее, когда пишу это сообщение, процесс такой висит.

Логи прилагаются

Re: Trojan.Inject.8456 или msmcls64.exe

СообщениеДобавлено: 24 мар 2010 17:21
YoungMax
Здравствуйте.
Отключите интернет, отключите программы защиты. Пофиксите в HiJackThis строчку:
Код: Выделить всё
O4 - HKLM\..\Run: [MS Virtual CLS] C:\WINDOWS\system32\msvmcls64.exe


Далее в avz выполните скрипт(компьютер перезагрузится. После перезагрузки сделайте новые логи):
Код: Выделить всё
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('C:\RECYCLER\S-1-5-21-8113455558-6974367782-724926021-7651\syscr.exe');
TerminateProcessByName('C:\WINDOWS\system32\msvmcls64.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-8113455558-6974367782-724926021-7651\syscr.exe','');
QuarantineFile('C:\windows\system32\msvmcls64.exe' , '');
DeleteFile('C:\RECYCLER\S-1-5-21-8113455558-6974367782-724926021-7651\syscr.exe');
DeleteFile('C:\windows\system32\msvmcls64.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Re: Trojan.Inject.8456 или msmcls64.exe

СообщениеДобавлено: 26 мар 2010 13:48
Эл Брегг
Все сделал, логи прилагаю.

Меня только смущает вот что: после выполнения скрипта и, соответственно, перезагрузки для нашего торрента перестали грузиться стили CSS (во всяком случае это так выглядит), и поломалось отображение некоторых видео файлов (все с расширением *.avi, кодеки были и XviD и DivX). Скриншоты и того и другого найдете в архиве. Ах да, еще внезапно ломается переключение языков и даже Punto Switcher бессилен, помогает только перезагрузка.

Re: Trojan.Inject.8456 или msmcls64.exe

СообщениеДобавлено: 26 мар 2010 14:24
YoungMax
Эл Брегг
В другом браузере локальный трекер нормально грузит?
Попробуйте переставить кодеки.
Кстати, C:\windows\system32\msvmcls64.exe - Trojan.Win32.Kreeper.crm.Относительно новый вирус, появившийся примерно 10.03.2010

Насчет языка:
1. Щелнкните правой кнопкой на иконку переключения языка на панели задач и выберите пункт "Параметры"
2. Выбирете закладку "Дополнительно" и смените там настройку "дополнительных текстовых служб". Нажимаете кнопку "применить"
В логах чисто.

Re: Trojan.Inject.8456 или msmcls64.exe

СообщениеДобавлено: 26 мар 2010 14:32
Эл Брегг
-=YoungMax=-
Большое вам спасибо за помощь... С мелкими проблемами я постараюсь сам разобраться, просто боюсь, что они были спровоцированы как раз вирусами... Как вы считаете, пока Винда относительно новая и мне в принципе не сложно её переустановить, может проще именно так решить все эти проблемы?

Re: Trojan.Inject.8456 или msmcls64.exe

СообщениеДобавлено: 26 мар 2010 14:43
YoungMax
Эл Брегг

Насчет раскладки могу сказать,что на 2й машине,на которой установлен Punto Switcher, тоже бывает невозможно переключать языки.

Насчет видео, возможно вирус заразил один из файлов кодеков,который мы прибили. Отсюда и такие фокусы возможны. Может вылечитсья переустановкой кодеков.
Пробовали просмотр в другом плеере?

Про переустановку, если уж желаете решить проблему таким образом,пожалуйста :)

Re: Trojan.Inject.8456 или msmcls64.exe

СообщениеДобавлено: 27 мар 2010 11:10
Эл Брегг
-=YoungMax=-
Я пользовался KMPlayer, в нем встроены кодеки, повторная установка проблему с воспроизведением решила

CSS вдруг стали загружаться, ну и ладно, пусть пока работает. С переключением раскладки пока не разобрался, мистика какая-то. Но все равно спасибо, комп теперь работает намного лучше!