Вирус ghdrive32.exe

[K0S]

Я извеняюсь за повторение темы..... все с той же проблемой вот сделал логи как написано в ваших инструкциях.
Все начелось еще 1,5 месяца назад по началу когда появился этот вирус у него было название ggdrive32.exe он находитса в папке c\windows , скрытый. С помощю разных скриптов которые находил на сайтах какбы проличил компы + нод зашевелился и начал ловить эти файлы, вроде все нормально было, но тут на тебе опять появились и назавыание его уже ghdrive32.exe Эта гадость кокимто макаром с нета лезит причем сама, грузитса в автозагрузку и создает кучу разных файлов в паке с пользователем C:\Documents and Settings\user типа: new1.exe, hdcd.exe в корене диска C xdx.exe при удалении появляютса опять. некотырые машини тупят от него, а вообще он закрывает доступ к сетевому окружению, и иногда доступ к интернету. Помогите избавитса от него! Насколько я понял он будет постоянно ко мне прилазить, в чем причина( Помогите!

Моя проблема мне как головная боль у меня 25 компов и я когдато поборол это но оно у меня опять появилось, почему так? как мне избавитса, как оно ко мне опять прилазит..... Помогите пожалуста я буду очень благодарен, потомучто даже антивирусник неспасает он его видит раз через раз(

[миднайт]

Восстановление системы: включено
Отключите.
Отключитесь от сети.
В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('d:\program files\imsa\dilo\imsasrv.exe');
 TerminateProcessByName('d:\program files\imsa\reservdb\rdbservice.exe');
 TerminateProcessByName('d:\windows\ghdrive32.exe');
 QuarantineFile('D:\Documents and Settings\fotchenko\hddd.exe','');
 QuarantineFile('D:\Documents and Settings\fotchenko\hdcd.exe','');
 QuarantineFile('D:\WINDOWS\system32\71.exe','');
 QuarantineFile('D:\WINDOWS\system32\43.exe','');
 QuarantineFile('D:\WINDOWS\system32\34.exe','');
 QuarantineFile('D:\WINDOWS\system32\24.exe','');
 QuarantineFile('D:\WINDOWS\system32\21.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
 QuarantineFile('D:\WINDOWS\ghdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('d:\program files\imsa\reservdb\rdbservice.exe','');
 QuarantineFile('d:\program files\imsa\dilo\imsasrv.exe','');
 QuarantineFile('d:\windows\ghdrive32.exe','');
 DeleteFile('d:\windows\ghdrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 DeleteFile('D:\WINDOWS\ghdrive32.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('D:\WINDOWS\system32\21.exe');
 DeleteFile('D:\WINDOWS\system32\24.exe');
 DeleteFile('D:\WINDOWS\system32\34.exe');
 DeleteFile('D:\WINDOWS\system32\43.exe');
 DeleteFile('D:\WINDOWS\system32\71.exe');
 DeleteFile('D:\Documents and Settings\fotchenko\hdcd.exe');
 DeleteFile('D:\Documents and Settings\fotchenko\hddd.exe');
DeleteFileMask('c:\RECYCLER', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.

[K0S]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.

карантин я загрузил, а как повторно логи выложить?

[K0S]

вот повторные логи

[K0S]

Вы можете мне посоветовать что мне делать с другими компами с такой же проблемой? Можно ли их всех почистить стандартным скриптом который подойдет к любому? Как мне уберечь сеть от повторных атак? Буду благодарен вам очень!

[миднайт]

AskToolbar деинсталлируйте.
В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\system32\08.exe','');
 DeleteFile('D:\WINDOWS\system32\08.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Логи повторите.

Можно ли их всех почистить стандартным скриптом который подойдет к любому?

Для каждой машины сделайте новую тему. Их много?

[K0S]

20 компов( а от чего он появляетса можно очистить сеть? просто раньше когда он у меня был я лог нашел только тогда он назывался ggdrive32.exe спустя месяц он опять выскочил но уже ghdrive32.exe тоисть что то его тянет, антивирусник айпишники выдает мол эти файлы которые находятса в папке с пользователем стучатса в инет могу написать....

[миднайт]

20? неплохо. Можно конечно кьюритом и мбамом пройтись, но я сомневаюсь, что они все вычистят.
К тому же я еще не знаю поведение данного зловреда, возможно машины придется изолировать и лечить по отдельности.
c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe - Trojan.Win32.Pincav.befz
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe - новый зловред Trojan.Win32.Menti.gery
D:\Documents and Settings\fotchenko\hdcd.exe - Trojan.Win32.Menti.gery
D:\Documents and Settings\fotchenko\hddd.exe - нет детекта.
d:\program files\imsa\dilo\imsasrv.exe - чистый.

[K0S]

Можно конечно кьюритом и мбамом пройтись, но я сомневаюсь, что они все вычистят.

непомогает остаетса чтото всеравно, а почему антивирусники несправляютса с ним?

Добавлено через 25 минут

я буквально впервые столкнулся с скриптами, эти файлы которые сидят в мусорке они все одинакого имени или разного вы невкурсе? и я вижу там записи в скриптах, которые я так понимаю относятса к реестру что они делают) дайте ответ пожалуста если несикрет

[миднайт]

я вижу там записи в скриптах, которые я так понимаю относятса к реестру что они делают)

удаляют вредоносные записи в реестре

[K0S]

вот есче что.... на одном компютере у меня в сети есть папка розшаряная полностю, там в ней постоянно появляютса с непонятными названиями файлы с картинками типа: кофейная чашка; сфера; название у них просто набор английских букв.... нод их неопределяет как вирусы, я их заархивировал и принес домой так аваст увидив их написал:
Заражение: Autolt:Balero-C[Wrm] ...... я к чему веду что описание даного вируса имеет на мое мнение некую связь с описанием следующего Win32/Lethic.AA - это показывает нод32 при загрузке ОС и ломитса он на айпи 195.14.112.145/dq.exe

Как вы считаете? я почему это пишу, выличить можно компютеры но ненайдена причина по которой оно приходит с новым именем. Win32/Lethic.AA - инфо про этот вирус говорит что он вносит кокието измениние в Iexplorer.exe

[thyrex]

Ваша проблема в необновленной системе

Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Acrobat Reader 10 или удалите старый

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - Trojan.Win32.Pincav.befz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.318895, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-GNH [Trj] )
  2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan.Win32.Menti.gery ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )
  3. d:\\documents and settings\\fotchenko\\hdcd.exe - Trojan.Win32.Menti.gery ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )