Junior Member
Вес репутации
59
ghdrive32, hdddd.exe и т.п.
Проблема в наличии в Диспетчере указанных файлов, плюс msvmiode.exe, разного рода *.tmp-файлов, которые появляются при загрузке ОС и при долгой работе. Тормозят Оперу, блокируют страницы. Также на флешке постоянно появляется autorun после включения в ноут, а все папки на ней стали скрытыми. Атрибут скрытости не снимается, но содержимое этих корневых папок флэшки - нормально видимое.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Установите все обновления безопасности:
http://windowsupdate.microsoft.com/
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ghdrive32.exe');
TerminateProcessByName('c:\documents and settings\Администратор\application data\??.tmp');
ClearQuarantine;
QuarantineFile('C:\WINDOWS\ghdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Hclgln.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\??.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\pvcdsohrbd.sys','');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data', '??.tmp', false);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Hclgln.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hclgln');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\WINDOWS\ghdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Junior Member
Вес репутации
59
Вложения
Подозрительного не нашел.
Что с проблемой?
Так же:
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Junior Member
Вес репутации
59
Сейчас вроде всё нормально, паразитов в Диспетчере не видно. Через реестр отключил запуск autorun.inf.
Обновления, указанные в avz_log, установил.
Сейчас (и до этого) стоит Dr.Web, постоянно обновляемый. Что-нибудь посоветуете в добавок к нему от подобных червей?
От червей - вовремя закрывать уязвимости системы и программ.
Рекомендую настроить их автоматические обновления.
А вообще вот:
http://virusinfo.info/showthread.php?t=30339
Junior Member
Вес репутации
59
Есть ли какие-то способы теперь вернуть атрибут видимости корневым папкам флэшки. В свойствах сейчас стоит атрибут Скрытный и он заблокирован. Что сделать?
Какая файловая система на флешке? FAT или NTFS?
Junior Member
Вес репутации
59
Сообщение от
pasha.ru
В свойствах сейчас стоит атрибут Скрытный и он заблокирован. Что сделать?
Можно использовать Total Commander или команду attrib.
I am not young enough to know everything...
Пуск - Выполнить - введите cmd - нажмите Enter.
В появившемся окне введите букву флешки с двоеточием и нажмите Enter.
(текущим диском при этом станет флешка)
Ввведите
attrib -r -s -h *.* /s /d
и нажмите Enter.
Junior Member
Вес репутации
59
Большое спасибо, помогло! Можно закрывать тему!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 71 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\администратор\\application data\\a.tmp - Net-Worm.Win32.Kolab.aahy ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KD.208640, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-FUY [Trj] ) c:\\documents and settings\\администратор\\application data\\b.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\c.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\d.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\e.tmp - Trojan.Win32.Menti.jee ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\fa.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\f.tmp - Backdoor.Win32.IRCBot.tgr ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-EG [Trj] ) c:\\documents and settings\\администратор\\application data\\f5.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\f6.tmp - Backdoor.Win32.IRCBot.tgr ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-EG [Trj] ) c:\\documents and settings\\администратор\\application data\\f7.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\f8.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\f9.tmp - Trojan.Win32.Menti.jee ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\hclgln.exe - P2P-Worm.Win32.Palevo.cphp ( DrWEB: Trojan.Inject.34179, BitDefender: Trojan.Generic.KDV.205505, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\1b.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\1c.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\1d.tmp - Net-Worm.Win32.Kolab.aabz ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.5825497, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\1e.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kryptik-CEK [Trj] ) c:\\documents and settings\\администратор\\application data\\1f.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\10.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\11.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\12.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\13.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\14.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\15.tmp - Net-Worm.Win32.Kolab.aakr ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Downloader-FRJ [Trj] ) c:\\documents and settings\\администратор\\application data\\16.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\17.tmp - Net-Worm.Win32.Kolab.aakr ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Downloader-FRJ [Trj] ) c:\\documents and settings\\администратор\\application data\\18.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\19.tmp - Net-Worm.Win32.Kolab.aakr ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Downloader-FRJ [Trj] ) c:\\documents and settings\\администратор\\application data\\2.tmp - Trojan.Win32.Menti.jee ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\20.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\21.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\22.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\25.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-DY [Trj] ) c:\\documents and settings\\администратор\\application data\\26.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\27.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\28.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\3.tmp - Net-Worm.Win32.Kolab.aaay ( DrWEB: Trojan.Inject.34179, BitDefender: Trojan.Generic.KDV.205306, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\30.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.207405, AVAST4: Win32:Kryptik-CEK [Trj] ) c:\\documents and settings\\администратор\\application data\\32.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\33.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\4.tmp - Net-Worm.Win32.Kolab.aaav ( DrWEB: Trojan.Inject.34179, BitDefender: Trojan.Generic.KDV.205306, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\5.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\6a.tmp - Backdoor.Win32.IRCBot.tgr ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-EG [Trj] ) c:\\documents and settings\\администратор\\application data\\6b.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\6c.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\6d.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-DY [Trj] ) c:\\documents and settings\\администратор\\application data\\6e.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\6.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\60.tmp - Trojan.Win32.Menti.jee ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\61.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\62.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\69.tmp - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\7.tmp - Net-Worm.Win32.Kolab.aacc ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Gen:Variant.Palevo.16, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\8.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\9a.tmp - Trojan-Proxy.Win32.Ranky.ju ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Trojan-gen ) c:\\documents and settings\\администратор\\application data\\9b.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\9.tmp - P2P-Worm.Win32.Palevo.cprn ( DrWEB: Trojan.DownLoader2.47649, BitDefender: Trojan.Generic.KDV.205305, AVAST4: Win32:Inject-AGC [Trj] ) c:\\documents and settings\\администратор\\application data\\98.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Packed.21619, BitDefender: Trojan.Generic.KD.208055, AVAST4: Win32:Kolab-DY [Trj] ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - P2P-Worm.Win32.Palevo.coye ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6116562, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Inject-AGC [Trj] ) c:\\windows\\ghdrive32.exe - Trojan.Win32.Menti.jee ( DrWEB: Trojan.Inject.36642, BitDefender: Trojan.Generic.KD.210365, AVAST4: Win32:Trojan-gen )