Показано с 1 по 17 из 17.

Вирусы ..drive32.exe, стадо коней и т.д. (заявка № 102483)

  1. #1
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    8
    Вес репутации
    21

    Thumbs up Вирусы ..drive32.exe, стадо коней и т.д.

    Здравствуйте, в последнее время появилась проблема с компьютером: на нём постоянно запускается вирус aadrive32.exe, jodrive32.exe и просто drive32.exe. Стоит антивирус AVG который постоянно блокирует какие то угрозы и при сканировании находит коней:agent.ASLB,SHeur3.BZAU, SHeur3.BZIJ, а также Downloader.Generic.10.CHGI. После сканирования антивирус вроде как лечит и удаляет их, но при повторном сканировании находит вновь. Атнтивирь постоянно обновляется, хотя и присутствуют проблемы с интернетом-часто бывает ничего загрузить невозможно. Компьютер также стал работать очень медленно. Отдельная история с внешними жесткими дисками. Их два и на обоих вирус скрыл все папки и заблокировал смену этого атрибута. Вместо папок ярлыки. Также на дисках появились неудаляемые папки System Volume Information и Recycler. Есть ещё ноутбук , но на нём не всё так плачевно. Пока что посылаю логи с основного компа. Хотел переустановить систему, но почитал местные отзывы что это не помогает и решил обратиться за помощью к вам. Помогите пожалуйста избавиться от этой гадости. Всё нужное ниже. Заранее спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Angelvat, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Подключите съемные носители (флэшки и т.п.), которые использовали в последнее время, и оставьте подключенными до конца лечения, не обращаясь к ним.

    Отключив интернет и антивирус, выполните скрипт в AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\geimw.dll','');
     QuarantineFile('C:\WINDOWS\jodrive32.exe','');
     QuarantineFile('C:\WINDOWS\aadrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Eswsww.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Kuwswc.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Eswsww.exe','');
     DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Eswsww.exe');
     DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Kuwswc.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Eswsww.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     DeleteFile('C:\WINDOWS\aadrive32.exe');
     DeleteFile('C:\WINDOWS\jodrive32.exe');
     DeleteFile('C:\WINDOWS\system32\01.scr');
     DeleteFile('C:\WINDOWS\system32\04.exe');
     DeleteFile('C:\WINDOWS\system32\22.exe');
     DeleteFile('C:\WINDOWS\system32\25.exe');
     DeleteFile('C:\WINDOWS\system32\28.exe');
     DeleteFile('C:\WINDOWS\system32\31.exe');
     DeleteFile('C:\WINDOWS\system32\44.exe');
     DeleteFile('C:\WINDOWS\system32\73.exe');
     DeleteFile('C:\WINDOWS\system32\76.exe');
     DeleteFile('C:\WINDOWS\system32\84.exe');
    DeleteFile('C:\WINDOWS\System32\geimw.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_ServiceKill('qrwkux');
    BC_Activate;
    RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сразу после этого устанавливайте все доступные обновления безопасности для Windows. Вы имеете дело с сетевым червем, и если не закрыть дырки в системе, он будет проникать снова и снова.

    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=102483).

    Сделайте новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    8
    Вес репутации
    21
    Всё сделал. Обновления скачал и поставил. Карантин дошёл?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Да. Ждем новые логи.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    8
    Вес репутации
    21
    Новые логи
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Червь приполз обратно. Делайте в указанной последовательности:

    Установите обновление (для Windows XP с пакетом обновления 3 (SP3):
    http://www.microsoft.com/rus/technet.../MS08-067.mspx

    Выполните скрипт в AVZ отсюда:
    http://df.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.

    Пройдите по всем ссылкам (http://...) в avz_log.txt и установите указанные там обновления.
    Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.

    Выполните скрипт в AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer;
    KeyList : TStringList;
    KeyName : string;
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then
         Result := Result or 8;
       end;
      end;
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\aadrive32.exe');
     ClearQuarantine;
     AddToLog(inttostr(BC_ServiceKill('oxlqhukc')) );
     QuarantineFile('C:\windows\system32\67.exe','');
     QuarantineFile('C:\windows\system32\12.exe','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('C:\windows\aadrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Eswsww.exe','');
     QuarantineFile('c:\windows\aadrive32.exe','');
     DeleteFile('c:\windows\aadrive32.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Eswsww.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Eswsww');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
     DeleteFile('C:\windows\aadrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('G:\autorun.inf');
     DeleteFile('C:\windows\system32\12.exe');
     DeleteFile('C:\windows\system32\67.exe');
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
     SaveLog(GetAVZDirectory+'avz_log.txt');
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    А также

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    8
    Вес репутации
    21
    Всё сделал.
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    8
    Вес репутации
    21
    МВАМ сканируется

  12. #11
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    8
    Вес репутации
    21
    Заметил в диспетчере постоянно появляющийся процесс с меняющимся названием и постоянным расширением .tmp. aadrive32.exe и jodrive32.exe также никуда не исчезли. И ещё интернет после включения и перезагрузки работает 5-10 минут после чего вырубается полностью. Лог МВАМ прилагается.
    Вложения Вложения

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\jodrive32.exe');
     DeleteFile('C:\windows\system32\01.exe');
     DeleteFile('C:\windows\system32\14.exe');
     DeleteFile('C:\windows\jodrive32.exe');
    DeleteFile('c:\documents and settings\администратор\dgjdd.exe');
    DeleteFile('c:\documents and settings\networkservice\application data\kuwswc.exe');
    DeleteFile('c:\documents and settings\администратор\application data\kuwswc.exe');
    DeleteFileMask('C:\RECYCLER', '*.*',true);
    DeleteFileMask('G:\RECYCLER', '*.*',true);
    DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*',true);
    DeleteFileMask('c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5', '*.*',true);
    DeleteFileMask('', '*.tmp',true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnceEx-','Flags');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи (в т.ч. MBAM).
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    8
    Вес репутации
    21
    Всё сделал. После выполненного скрипта AVZ переставал работать (выполнял несколько раз потому что если подключаешь 2 жестких вместе один из них вырубается, остается один;тоже вирус?). При попытке запуска AVZ выдавал ошибку "Cannot open file "D:/.../avz/base/extract.avz/". Отказано в доступе". После него появлялось многократно повторяющееся окно с сообщением "Access violation at adress 004FAF55 in module 'avz.exe'
    Read of address 000000E". Сообщения появляются и появляются, пока не убьёшь процесс avz.exe.Проблема исправляется только повторным распаковыванием AVZ из архива. И ещё одна странность. В диспетчере увидел странное написание процесса Explorer.EXE.Это нормально? Ну а так появились первые сдвиги в лучшую сторону: компьютер впервые за последнее время перестал тормозить и интернет вроде не вырубается))) Появился свет в конце туннеля)) Логи прилагаются.
    Вложения Вложения
    Последний раз редактировалось Angelvat; 24.05.2011 в 00:44. Причина: Пробелы лишние поубирал...

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    DeleteFileMask('c:\documents and settings\администратор\application data', '*.tmp',false);
    end.
    Больше ничего плохого не видно.

    Добавлено через 32 секунды

    Цитата Сообщение от Angelvat Посмотреть сообщение
    В диспетчере увидел странное написание процесса Explorer.EXE.Это нормально?
    Да.
    Последний раз редактировалось Bratez; 24.05.2011 в 02:53. Причина: Добавлено
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    8
    Вес репутации
    21
    Cпасибо Вам большое за помощь.
    А вот с папками System Volume Information и Recycler на всех жестких можно что то сделать или только форматирование поможет? Хотя для диска C:/ это не вариант.
    И если хотел бы показать логи для ноутбука, их выкладывать здесь можно или в новой теме открывать? И последний вопрос. Как вы считаете, Доктор Веб лучше AVG?

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Angelvat Посмотреть сообщение
    с папками System Volume Information и Recycler на всех жестких можно что то сделать или только форматирование поможет?
    Это папка восстановления системы и корзина соответственно, делать с ними ничего не надо.

    Цитата Сообщение от Angelvat Посмотреть сообщение
    хотел бы показать логи для ноутбука, их выкладывать здесь можно или в новой теме открывать?
    В новой теме.

    Цитата Сообщение от Angelvat Посмотреть сообщение
    Как вы считаете, Доктор Веб лучше AVG?
    Я считаю, что лучше.
    I am not young enough to know everything...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,529
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\networkservice\\application data\\kuwswc.exe - Trojan.Win32.Menti.gltc ( DrWEB: Trojan.Packed.21648, BitDefender: Trojan.Generic.6019143, NOD32: Win32/Dorkbot.A worm )
      2. c:\\documents and settings\\администратор\\application data\\eswsww.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KD.230163, NOD32: Win32/Dorkbot.A worm )
      3. c:\\documents and settings\\администратор\\application data\\eswsww.exe - Trojan.Win32.Menti.glvh ( DrWEB: Trojan.Packed.21650, BitDefender: Trojan.Generic.KD.225550, AVAST4: Win32:Malware-gen )
      4. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan-Downloader.Win32.Injecter.fuc ( DrWEB: Trojan.Inject.38501, BitDefender: Trojan.Generic.5945724, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      5. c:\\windows\\aadrive32.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.667962 )
      6. c:\\windows\\aadrive32.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.667962, AVAST4: Win32:Malware-gen )
      7. c:\\windows\\jodrive32.exe - Trojan.Win32.Menti.gmmy ( DrWEB: Trojan.Packed.21648, BitDefender: Trojan.Generic.5968962, NOD32: IRC/SdBot trojan )
      8. c:\\windows\\system32\\geimw.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] )
      9. c:\\windows\\system32\\12.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KD.230163, NOD32: Win32/AutoRun.KS worm )
      10. c:\\windows\\system32\\67.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KD.230163, NOD32: Win32/AutoRun.KS worm )
      11. g:\\autorun.inf - Net-Worm.Win32.Kido.ir ( DrWEB: Win32.HLLW.Autoruner.5601, BitDefender: Worm.Autorun.VHG, AVAST4: BV:AutoRun-S [Wrm] )


  • Уважаемый(ая) Angelvat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. ..drive32.exe
      От bobriq в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 27.05.2011, 12:57
    2. Вирусы-картинки и вирусы-музыка?
      От catmen08 в разделе Общая сетевая безопасность
      Ответов: 16
      Последнее сообщение: 04.05.2010, 17:01
    3. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:44
    4. помогите, целыое стадо коней и ботов
      От taxox в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.10.2008, 13:33
    5. Вирусы полечил, вирусы остались
      От Yurii в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.07.2008, 07:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00400 seconds with 24 queries