-
Junior Member
- Вес репутации
- 48
Вирус ghdrive32.exe
Я извеняюсь за повторение темы..... все с той же проблемой вот сделал логи как написано в ваших инструкциях.
Все начелось еще 1,5 месяца назад по началу когда появился этот вирус у него было название ggdrive32.exe он находитса в папке c\windows , скрытый. С помощю разных скриптов которые находил на сайтах какбы проличил компы + нод зашевелился и начал ловить эти файлы, вроде все нормально было, но тут на тебе опять появились и назавыание его уже ghdrive32.exe Эта гадость кокимто макаром с нета лезит причем сама, грузитса в автозагрузку и создает кучу разных файлов в паке с пользователем C:\Documents and Settings\user типа: new1.exe, hdcd.exe в корене диска C xdx.exe при удалении появляютса опять. некотырые машини тупят от него, а вообще он закрывает доступ к сетевому окружению, и иногда доступ к интернету. Помогите избавитса от него! Насколько я понял он будет постоянно ко мне прилазить, в чем причина( Помогите!
Моя проблема мне как головная боль у меня 25 компов и я когдато поборол это но оно у меня опять появилось, почему так? как мне избавитса, как оно ко мне опять прилазит..... Помогите пожалуста я буду очень благодарен, потомучто даже антивирусник неспасает он его видит раз через раз(
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы: включено
Отключите.
Отключитесь от сети.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\program files\imsa\dilo\imsasrv.exe');
TerminateProcessByName('d:\program files\imsa\reservdb\rdbservice.exe');
TerminateProcessByName('d:\windows\ghdrive32.exe');
QuarantineFile('D:\Documents and Settings\fotchenko\hddd.exe','');
QuarantineFile('D:\Documents and Settings\fotchenko\hdcd.exe','');
QuarantineFile('D:\WINDOWS\system32\71.exe','');
QuarantineFile('D:\WINDOWS\system32\43.exe','');
QuarantineFile('D:\WINDOWS\system32\34.exe','');
QuarantineFile('D:\WINDOWS\system32\24.exe','');
QuarantineFile('D:\WINDOWS\system32\21.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
QuarantineFile('D:\WINDOWS\ghdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('d:\program files\imsa\reservdb\rdbservice.exe','');
QuarantineFile('d:\program files\imsa\dilo\imsasrv.exe','');
QuarantineFile('d:\windows\ghdrive32.exe','');
DeleteFile('d:\windows\ghdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('D:\WINDOWS\ghdrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('D:\WINDOWS\system32\21.exe');
DeleteFile('D:\WINDOWS\system32\24.exe');
DeleteFile('D:\WINDOWS\system32\34.exe');
DeleteFile('D:\WINDOWS\system32\43.exe');
DeleteFile('D:\WINDOWS\system32\71.exe');
DeleteFile('D:\Documents and Settings\fotchenko\hdcd.exe');
DeleteFile('D:\Documents and Settings\fotchenko\hddd.exe');
DeleteFileMask('c:\RECYCLER', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
миднайт
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
карантин я загрузил, а как повторно логи выложить?
-
Junior Member
- Вес репутации
- 48
-
Junior Member
- Вес репутации
- 48
Вы можете мне посоветовать что мне делать с другими компами с такой же проблемой? Можно ли их всех почистить стандартным скриптом который подойдет к любому? Как мне уберечь сеть от повторных атак? Буду благодарен вам очень!
-
AskToolbar деинсталлируйте.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\08.exe','');
DeleteFile('D:\WINDOWS\system32\08.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи повторите.
Сообщение от
K0S
Можно ли их всех почистить стандартным скриптом который подойдет к любому?
Для каждой машины сделайте новую тему. Их много?
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 48
20 компов( а от чего он появляетса можно очистить сеть? просто раньше когда он у меня был я лог нашел только тогда он назывался ggdrive32.exe спустя месяц он опять выскочил но уже ghdrive32.exe тоисть что то его тянет, антивирусник айпишники выдает мол эти файлы которые находятса в папке с пользователем стучатса в инет могу написать....
-
20? неплохо. Можно конечно кьюритом и мбамом пройтись, но я сомневаюсь, что они все вычистят.
К тому же я еще не знаю поведение данного зловреда, возможно машины придется изолировать и лечить по отдельности.
c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe - Trojan.Win32.Pincav.befz
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe - новый зловред Trojan.Win32.Menti.gery
D:\Documents and Settings\fotchenko\hdcd.exe - Trojan.Win32.Menti.gery
D:\Documents and Settings\fotchenko\hddd.exe - нет детекта.
d:\program files\imsa\dilo\imsasrv.exe - чистый.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
миднайт
Можно конечно кьюритом и мбамом пройтись, но я сомневаюсь, что они все вычистят.
непомогает остаетса чтото всеравно, а почему антивирусники несправляютса с ним?
Добавлено через 25 минут
я буквально впервые столкнулся с скриптами, эти файлы которые сидят в мусорке они все одинакого имени или разного вы невкурсе? и я вижу там записи в скриптах, которые я так понимаю относятса к реестру что они делают) дайте ответ пожалуста если несикрет
Последний раз редактировалось K0S; 12.04.2011 в 19:00.
Причина: Добавлено
-
Сообщение от
K0S
я вижу там записи в скриптах, которые я так понимаю относятса к реестру что они делают)
удаляют вредоносные записи в реестре
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 48
вот есче что.... на одном компютере у меня в сети есть папка розшаряная полностю, там в ней постоянно появляютса с непонятными названиями файлы с картинками типа: кофейная чашка; сфера; название у них просто набор английских букв.... нод их неопределяет как вирусы, я их заархивировал и принес домой так аваст увидив их написал:
Заражение: Autolt:Balero-C[Wrm] ...... я к чему веду что описание даного вируса имеет на мое мнение некую связь с описанием следующего Win32/Lethic.AA - это показывает нод32 при загрузке ОС и ломитса он на айпи 195.14.112.145/dq.exe
Как вы считаете? я почему это пишу, выличить можно компютеры но ненайдена причина по которой оно приходит с новым именем. Win32/Lethic.AA - инфо про этот вирус говорит что он вносит кокието измениние в Iexplorer.exe
-
Ваша проблема в необновленной системе
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Acrobat Reader 10 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - Trojan.Win32.Pincav.befz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.318895, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-GNH [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan.Win32.Menti.gery ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )
- d:\\documents and settings\\fotchenko\\hdcd.exe - Trojan.Win32.Menti.gery ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )
-