ghdrive32, hdddd.exe и т.п.

**pasha.ru** · 03.05.2011, 13:14

Проблема в наличии в Диспетчере указанных файлов, плюс msvmiode.exe, разного рода *.tmp-файлов, которые появляются при загрузке ОС и при долгой работе. Тормозят Оперу, блокируют страницы. Также на флешке постоянно появляется autorun после включения в ноут, а все папки на ней стали скрытыми. Атрибут скрытости не снимается, но содержимое этих корневых папок флэшки - нормально видимое.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Nikkollo** · 03.05.2011, 15:16

Установите все обновления безопасности:
http://windowsupdate.microsoft.com/

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\ghdrive32.exe');
 TerminateProcessByName('c:\documents and settings\Администратор\application data\??.tmp');
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\ghdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Hclgln.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\??.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\pvcdsohrbd.sys','');
 DeleteFileMask('C:\Documents and Settings\Администратор\Application Data', '??.tmp', false);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Hclgln.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hclgln');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 DeleteFile('C:\WINDOWS\ghdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

**pasha.ru** · 03.05.2011, 17:31

Карантин выслал

**Nikkollo** · 03.05.2011, 17:45

Подозрительного не нашел.
Что с проблемой?

Так же:
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.

**pasha.ru** · 04.05.2011, 10:13

Сейчас вроде всё нормально, паразитов в Диспетчере не видно. Через реестр отключил запуск autorun.inf.

Обновления, указанные в avz_log, установил.

Сейчас (и до этого) стоит Dr.Web, постоянно обновляемый. Что-нибудь посоветуете в добавок к нему от подобных червей?

**Nikkollo** · 04.05.2011, 11:59

От червей - вовремя закрывать уязвимости системы и программ.
Рекомендую настроить их автоматические обновления.

А вообще вот:
http://virusinfo.info/showthread.php?t=30339

**pasha.ru** · 04.05.2011, 13:06

Есть ли какие-то способы теперь вернуть атрибут видимости корневым папкам флэшки. В свойствах сейчас стоит атрибут Скрытный и он заблокирован. Что сделать?

**Nikkollo** · 04.05.2011, 13:50

Какая файловая система на флешке? FAT или NTFS?

**pasha.ru** · 04.05.2011, 13:51

FAT32

**Bratez** · 04.05.2011, 13:58

Сообщение от pasha.ru

В свойствах сейчас стоит атрибут Скрытный и он заблокирован. Что сделать?

Можно использовать Total Commander или команду attrib.

**Nikkollo** · 04.05.2011, 14:03

Пуск - Выполнить - введите cmd - нажмите Enter.
В появившемся окне введите букву флешки с двоеточием и нажмите Enter.
(текущим диском при этом станет флешка)
Ввведите
attrib -r -s -h *.* /s /d
и нажмите Enter.

**pasha.ru** · 04.05.2011, 15:06

Большое спасибо, помогло! Можно закрывать тему!

**CyberHelper** · 05.05.2011, 15:06

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 71
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\администратор\\application data\\a.tmp - Net-Worm.Win32.Kolab.aahy ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KD.208640, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-FUY [Trj] )
2. c:\\documents and settings\\администратор\\application data\\b.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
3. c:\\documents and settings\\администратор\\application data\\c.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
4. c:\\documents and settings\\администратор\\application data\\d.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
5. c:\\documents and settings\\администратор\\application data\\e.tmp - Trojan.Win32.Menti.jee ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Trojan-gen )
6. c:\\documents and settings\\администратор\\application data\\fa.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
7. c:\\documents and settings\\администратор\\application data\\f.tmp - Backdoor.Win32.IRCBot.tgr ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-EG [Trj] )
8. c:\\documents and settings\\администратор\\application data\\f5.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
9. c:\\documents and settings\\администратор\\application data\\f6.tmp - Backdoor.Win32.IRCBot.tgr ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-EG [Trj] )
10. c:\\documents and settings\\администратор\\application data\\f7.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] )
11. c:\\documents and settings\\администратор\\application data\\f8.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
12. c:\\documents and settings\\администратор\\application data\\f9.tmp - Trojan.Win32.Menti.jee ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Trojan-gen )
13. c:\\documents and settings\\администратор\\application data\\hclgln.exe - P2P-Worm.Win32.Palevo.cphp ( DrWEB: Trojan.Inject.34179, BitDefender: Trojan.Generic.KDV.205505, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Inject-AGC [Trj] )
14. c:\\documents and settings\\администратор\\application data\\1b.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
15. c:\\documents and settings\\администратор\\application data\\1c.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
16. c:\\documents and settings\\администратор\\application data\\1d.tmp - Net-Worm.Win32.Kolab.aabz ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.5825497, AVAST4: Win32:Inject-AGC [Trj] )
17. c:\\documents and settings\\администратор\\application data\\1e.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kryptik-CEK [Trj] )
18. c:\\documents and settings\\администратор\\application data\\1f.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
19. c:\\documents and settings\\администратор\\application data\\10.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
20. c:\\documents and settings\\администратор\\application data\\11.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
21. c:\\documents and settings\\администратор\\application data\\12.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
22. c:\\documents and settings\\администратор\\application data\\13.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
23. c:\\documents and settings\\администратор\\application data\\14.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
24. c:\\documents and settings\\администратор\\application data\\15.tmp - Net-Worm.Win32.Kolab.aakr ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Downloader-FRJ [Trj] )
25. c:\\documents and settings\\администратор\\application data\\16.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
26. c:\\documents and settings\\администратор\\application data\\17.tmp - Net-Worm.Win32.Kolab.aakr ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Downloader-FRJ [Trj] )
27. c:\\documents and settings\\администратор\\application data\\18.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] )
28. c:\\documents and settings\\администратор\\application data\\19.tmp - Net-Worm.Win32.Kolab.aakr ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Downloader-FRJ [Trj] )
29. c:\\documents and settings\\администратор\\application data\\2.tmp - Trojan.Win32.Menti.jee ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Trojan-gen )
30. c:\\documents and settings\\администратор\\application data\\20.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
31. c:\\documents and settings\\администратор\\application data\\21.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
32. c:\\documents and settings\\администратор\\application data\\22.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
33. c:\\documents and settings\\администратор\\application data\\25.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-DY [Trj] )
34. c:\\documents and settings\\администратор\\application data\\26.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
35. c:\\documents and settings\\администратор\\application data\\27.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] )
36. c:\\documents and settings\\администратор\\application data\\28.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
37. c:\\documents and settings\\администратор\\application data\\3.tmp - Net-Worm.Win32.Kolab.aaay ( DrWEB: Trojan.Inject.34179, BitDefender: Trojan.Generic.KDV.205306, AVAST4: Win32:Inject-AGC [Trj] )
38. c:\\documents and settings\\администратор\\application data\\30.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.207405, AVAST4: Win32:Kryptik-CEK [Trj] )
39. c:\\documents and settings\\администратор\\application data\\32.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
40. c:\\documents and settings\\администратор\\application data\\33.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
41. c:\\documents and settings\\администратор\\application data\\4.tmp - Net-Worm.Win32.Kolab.aaav ( DrWEB: Trojan.Inject.34179, BitDefender: Trojan.Generic.KDV.205306, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Inject-AGC [Trj] )
42. c:\\documents and settings\\администратор\\application data\\5.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
43. c:\\documents and settings\\администратор\\application data\\6a.tmp - Backdoor.Win32.IRCBot.tgr ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-EG [Trj] )
44. c:\\documents and settings\\администратор\\application data\\6b.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] )
45. c:\\documents and settings\\администратор\\application data\\6c.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
46. c:\\documents and settings\\администратор\\application data\\6d.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-DY [Trj] )
47. c:\\documents and settings\\администратор\\application data\\6e.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
48. c:\\documents and settings\\администратор\\application data\\6.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
49. c:\\documents and settings\\администратор\\application data\\60.tmp - Trojan.Win32.Menti.jee ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Trojan-gen )
50. c:\\documents and settings\\администратор\\application data\\61.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] )
51. c:\\documents and settings\\администратор\\application data\\62.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
52. c:\\documents and settings\\администратор\\application data\\69.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
53. c:\\documents and settings\\администратор\\application data\\7.tmp - Net-Worm.Win32.Kolab.aacc ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Gen:Variant.Palevo.16, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-AGC [Trj] )
54. c:\\documents and settings\\администратор\\application data\\8.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] )
55. c:\\documents and settings\\администратор\\application data\\9a.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen )
56. c:\\documents and settings\\администратор\\application data\\9b.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] )
57. c:\\documents and settings\\администратор\\application data\\9.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] )
58. c:\\documents and settings\\администратор\\application data\\98.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-DY [Trj] )
59. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] )
60. c:\\windows\\ghdrive32.exe - Trojan.Win32.Menti.jee ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Trojan-gen )

ghdrive32, hdddd.exe и т.п. (заявка № 101662)

Опции темы

ghdrive32, hdddd.exe и т.п.

Итог лечения

Похожие темы

ghdrive32

ghdrive32.exe и компания

Процесс ghdrive32.exe

ghdrive32.exe

ghdrive32.exe

Ваши права в разделе