-
Junior Member
- Вес репутации
- 48
Вирусы ..drive32.exe, стадо коней и т.д.
Здравствуйте, в последнее время появилась проблема с компьютером: на нём постоянно запускается вирус aadrive32.exe, jodrive32.exe и просто drive32.exe. Стоит антивирус AVG который постоянно блокирует какие то угрозы и при сканировании находит коней:agent.ASLB,SHeur3.BZAU, SHeur3.BZIJ, а также Downloader.Generic.10.CHGI. После сканирования антивирус вроде как лечит и удаляет их, но при повторном сканировании находит вновь. Атнтивирь постоянно обновляется, хотя и присутствуют проблемы с интернетом-часто бывает ничего загрузить невозможно. Компьютер также стал работать очень медленно. Отдельная история с внешними жесткими дисками. Их два и на обоих вирус скрыл все папки и заблокировал смену этого атрибута. Вместо папок ярлыки. Также на дисках появились неудаляемые папки System Volume Information и Recycler. Есть ещё ноутбук , но на нём не всё так плачевно. Пока что посылаю логи с основного компа. Хотел переустановить систему, но почитал местные отзывы что это не помогает и решил обратиться за помощью к вам. Помогите пожалуйста избавиться от этой гадости. Всё нужное ниже. Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Angelvat, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Подключите съемные носители (флэшки и т.п.), которые использовали в последнее время, и оставьте подключенными до конца лечения, не обращаясь к ним.
Отключив интернет и антивирус, выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\geimw.dll','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Eswsww.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Kuwswc.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Eswsww.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Eswsww.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Kuwswc.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Eswsww.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\WINDOWS\system32\01.scr');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\22.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\System32\geimw.dll');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('qrwkux');
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сразу после этого устанавливайте все доступные обновления безопасности для Windows. Вы имеете дело с сетевым червем, и если не закрыть дырки в системе, он будет проникать снова и снова.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=102483).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Всё сделал. Обновления скачал и поставил. Карантин дошёл?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
-
Червь приполз обратно. Делайте в указанной последовательности:
Установите обновление (для Windows XP с пакетом обновления 3 (SP3):
http://www.microsoft.com/rus/technet.../MS08-067.mspx
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http://...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\aadrive32.exe');
ClearQuarantine;
AddToLog(inttostr(BC_ServiceKill('oxlqhukc')) );
QuarantineFile('C:\windows\system32\67.exe','');
QuarantineFile('C:\windows\system32\12.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\windows\aadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Eswsww.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Eswsww.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Eswsww');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\windows\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\windows\system32\12.exe');
DeleteFile('C:\windows\system32\67.exe');
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и приложите в теме.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
-
Junior Member
- Вес репутации
- 48
-
Junior Member
- Вес репутации
- 48
Заметил в диспетчере постоянно появляющийся процесс с меняющимся названием и постоянным расширением .tmp. aadrive32.exe и jodrive32.exe также никуда не исчезли. И ещё интернет после включения и перезагрузки работает 5-10 минут после чего вырубается полностью. Лог МВАМ прилагается.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\jodrive32.exe');
DeleteFile('C:\windows\system32\01.exe');
DeleteFile('C:\windows\system32\14.exe');
DeleteFile('C:\windows\jodrive32.exe');
DeleteFile('c:\documents and settings\администратор\dgjdd.exe');
DeleteFile('c:\documents and settings\networkservice\application data\kuwswc.exe');
DeleteFile('c:\documents and settings\администратор\application data\kuwswc.exe');
DeleteFileMask('C:\RECYCLER', '*.*',true);
DeleteFileMask('G:\RECYCLER', '*.*',true);
DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*',true);
DeleteFileMask('c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5', '*.*',true);
DeleteFileMask('', '*.tmp',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnceEx-','Flags');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (в т.ч. MBAM).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Всё сделал. После выполненного скрипта AVZ переставал работать (выполнял несколько раз потому что если подключаешь 2 жестких вместе один из них вырубается, остается один;тоже вирус?). При попытке запуска AVZ выдавал ошибку "Cannot open file "D:/.../avz/base/extract.avz/". Отказано в доступе". После него появлялось многократно повторяющееся окно с сообщением "Access violation at adress 004FAF55 in module 'avz.exe'
Read of address 000000E". Сообщения появляются и появляются, пока не убьёшь процесс avz.exe.Проблема исправляется только повторным распаковыванием AVZ из архива. И ещё одна странность. В диспетчере увидел странное написание процесса Explorer.EXE.Это нормально? Ну а так появились первые сдвиги в лучшую сторону: компьютер впервые за последнее время перестал тормозить и интернет вроде не вырубается))) Появился свет в конце туннеля)) Логи прилагаются.
Последний раз редактировалось Angelvat; 24.05.2011 в 00:44.
Причина: Пробелы лишние поубирал...
-
Выполните скрипт в AVZ:
Код:
begin
DeleteFileMask('c:\documents and settings\администратор\application data', '*.tmp',false);
end.
Больше ничего плохого не видно.
Добавлено через 32 секунды
Сообщение от
Angelvat
В диспетчере увидел странное написание процесса Explorer.EXE.Это нормально?
Да.
Последний раз редактировалось Bratez; 24.05.2011 в 02:53.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Cпасибо Вам большое за помощь.
А вот с папками System Volume Information и Recycler на всех жестких можно что то сделать или только форматирование поможет? Хотя для диска C:/ это не вариант.
И если хотел бы показать логи для ноутбука, их выкладывать здесь можно или в новой теме открывать? И последний вопрос. Как вы считаете, Доктор Веб лучше AVG?
-
Сообщение от
Angelvat
с папками System Volume Information и Recycler на всех жестких можно что то сделать или только форматирование поможет?
Это папка восстановления системы и корзина соответственно, делать с ними ничего не надо.
Сообщение от
Angelvat
хотел бы показать логи для ноутбука, их выкладывать здесь можно или в новой теме открывать?
В новой теме.
Сообщение от
Angelvat
Как вы считаете, Доктор Веб лучше AVG?
Я считаю, что лучше.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\networkservice\\application data\\kuwswc.exe - Trojan.Win32.Menti.gltc ( DrWEB: Trojan.Packed.21648, BitDefender: Trojan.Generic.6019143, NOD32: Win32/Dorkbot.A worm )
- c:\\documents and settings\\администратор\\application data\\eswsww.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KD.230163, NOD32: Win32/Dorkbot.A worm )
- c:\\documents and settings\\администратор\\application data\\eswsww.exe - Trojan.Win32.Menti.glvh ( DrWEB: Trojan.Packed.21650, BitDefender: Trojan.Generic.KD.225550, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan-Downloader.Win32.Injecter.fuc ( DrWEB: Trojan.Inject.38501, BitDefender: Trojan.Generic.5945724, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\aadrive32.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.667962 )
- c:\\windows\\aadrive32.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Backdoor.Generic.667962, AVAST4: Win32:Malware-gen )
- c:\\windows\\jodrive32.exe - Trojan.Win32.Menti.gmmy ( DrWEB: Trojan.Packed.21648, BitDefender: Trojan.Generic.5968962, NOD32: IRC/SdBot trojan )
- c:\\windows\\system32\\geimw.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] )
- c:\\windows\\system32\\12.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KD.230163, NOD32: Win32/AutoRun.KS worm )
- c:\\windows\\system32\\67.exe - Backdoor.Win32.Floder.hs ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KD.230163, NOD32: Win32/AutoRun.KS worm )
- g:\\autorun.inf - Net-Worm.Win32.Kido.ir ( DrWEB: Win32.HLLW.Autoruner.5601, BitDefender: Worm.Autorun.VHG, AVAST4: BV:AutoRun-S [Wrm] )
-