ggdrive32.exe и прочие паразиты

**Апейрон** · 07.02.2011, 09:46

Ситуация следующая. Есть 3 логических диска: C, D, E. На C: установлена XP, на E: Vista. Последние годы виста фактически является основной системой; XP пользуюсь чрезвычайно редко, как правило, только в случаях, если комп глючит. Вот и сейчас не могу вспомнить, когда запускал XP последний раз.

Всё шло замечательно до минувшего четверга, когда при очередном запуске висты неожиданно последовала серия ошибок в приложениях, таких как explorer.exe и прочих системных. Результат - чёрный экран без признаков жизни. После перезагрузки, появляется сообщение: "SLUI.EXE Ошибка по адресу 0хс000...", затем ещё серия ошибок и снова чёрный экран + сообщение о неподлинной windows с предложением приобрести новый ключ активации. При одобрении предложения - новые ошибки и выкидывает на экран выбора пользователя. Соответственно, сделать что-либо в висте больше нельзя: не вызывается даже диспетчер задач. Примерно такая же картина и в безопасном режиме.

XP при этом загружается почти без сбоев (соответственно, весь дальнейший текст относится к действиям в XP). Первоначально не было доступа к антивирусным сайтам, в том числе и к вашему. Проблема решилась после запуска CureIt и пока повторно не появлялась. В диспетчере задач сразу заметил незнакомые процессы: Windows/ggdrive32.exe и ряд других с периодически меняющимися именами, в том числе с числовыми именами 8.exe, 56.exe и проч. в том же духе из папки system32. Регулярно убиваю все эти процессы в диспетчере задач и удаляю из системных папок. Эффекта нет, появляются через несколько минут снова. Последствия заражения на XP: периодически возникает ошибка с svchost.exe, после которой отрубается панель задач, а через некоторые время и запущенные приложения и система зависает; в корне диска С:\ и в корне пользовательской папки в C:\Documents and settings периодически появляются exe-файлы с различными именами и красивыми иконками. Часть из них сайт касперского видит как вирусы, часть - нет. В реестре прописаны на автозапуск 2 приложения igfxdkv32.exe и acleaner.exe. При удалении соответствующих записей из реестра, они восстанавливаются. Физически удалить эти 2 файла также не выходит.

Проверил все диски утилитой AVPTool в нормальном режиме, так как безопасный режим в XP не работает (через секунду после начала загрузки системы в безопасном режиме срабатывает перезагрузка). Логи сканирования всех 3-х разделов компа прилагаю. Предполагаю, что вирус заражает все разделы, которые находит, поэтому нужно, чтобы после лечения к жизни вернулась не только XP, но и Виста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 07.02.2011, 12:54

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006597.exe','');
 QuarantineFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006598.exe','');
 QuarantineFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006599.exe','');
 QuarantineFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006600.exe','');
 QuarantineFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006601.exe','');
 QuarantineFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006602.exe','');
 QuarantineFile('C:\WINDOWS\system32\87.exe','');
 QuarantineFile('C:\WINDOWS\system32\31.exe','');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635853}');
 QuarantineFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('C:\WINDOWS\system32\1025m.exe','');
 QuarantineFile('C:\WINDOWS\lsass.exe','');
 DeleteService('kkdc');
 TerminateProcessByName('c:\windows\system32\igfxdkv32.exe');
 QuarantineFile('c:\windows\system32\igfxdkv32.exe','');
 DeleteFile('C:\WINDOWS\lsass.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 DeleteFile('C:\WINDOWS\ggdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe');
 DeleteFile('C:\WINDOWS\system32\87.exe');
 DeleteFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006602.exe');
 DeleteFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006601.exe');
 DeleteFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006600.exe');
 DeleteFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006599.exe');
 DeleteFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006598.exe');
 DeleteFile('D:\System Volume Information\_restore{A61AC1AB-7A41-4132-9561-57FB6BAA893B}\RP6\A0006597.exe');
 DeleteFile('c:\windows\system32\igfxdkv32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

**Апейрон** · 08.02.2011, 06:01

После включения компа и прочтения вашего ответа, выполнил скрипт. Результат: acleaner.exe и прочие вроде исчезли, а вот igfxdkv32.exe как сидел, так и сидит, в том числе, в реестре

Сидит правда пока тихо: ggdrive32 и других посторонних процессов пока не видел, но кто его знает, что случится после перезагрузки...

Со вчерашнего дня кроме того (ещё до выполнения скрипта) почему-то оказалсь заблокирована команда "Выполнить" (Win+R): "Операция отменена вследствие действующих для компьютера ограничений".

В общем, в связи со всем этим сделал 3 лога ещё раз.
Карантин отправил.

**polword** · 08.02.2011, 06:47

- Выполните скрипт в AVZ в безопасном режиме

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('dwshd.sys','');
 QuarantineFile('C:\WINDOWS\system32\1025m.exe','');
 DeleteService('kkdc');
 DeleteFile('c:\windows\system32\igfxdkv32.exe');
 BC_DeleteFile('c:\windows\system32\igfxdkv32.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall Security Service');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Intel Drive Manager');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fnfx');
 DeleteFile('C:\WINDOWS\lsass.exe');
 DeleteFile('dwshd.sys');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Сообщение от polword

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
- Сделайте лог MBAM

- cделайте

**Апейрон** · 09.02.2011, 23:39

- Выполните скрипт в AVZ в безопасном режиме

Как я уже выше написал, XP у меня не загружается в безопасном режиме. Проверял за последние дни неоднократно: при выборе безопасного режима пару секунд на экране мигают строки с адресами загружаемых системных файлов, после чего комп внезапно уходит на перезагрузку. Не знаю, что с этим делать

Однако, мне удалось вчера из под висты через окно справки вызвать командную строку, где я выполнил команды

Код:

attrib -h -s -r C:\windows\system32\igfxdkv32.exe
del /f C:\windows\system32\igfxdkv32.exe

Как ни странно, это сработало: файл исчез и после перезагрузки в XP я его на привычном месте не нашёл. Сразу же удалил соответствующий параметр автозагрузки ("Intel Drive Manager") из реестра. Он удалился и пока больше не появлялся.

Однако, есть вещи, которые меня смущают. Так, параметр реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run
"Microsoft Driver Setup = C:\WINDOWS\ggdrive32.exe" не удаляется, выдаётся ошибка: "Не удаётся удалить все выделенные параметры."

Самого файла ggdrive32.exe нету, но запись в реестре не удаляется. Кроме того в том же разделе уровнём выше ("Explorer") установлен в значение "1" параметр "NoRun", который, видимо, и не даёт мне запускать команду "Выполнить". При попытке установить у этого параметра значение "0" пишет: "Не удаётся изменить "NoRun". Ошибка при записи нового значения параметра".

Логи последнего сканирования прилагаю.

**polword** · 10.02.2011, 06:42

- удалите в MBAM

Код:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{A93A1BA9-9EE8-469F-A9FE-FD1C26700BDA} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{A1789EB6-B263-4BD6-8830-D3DAAF78949A} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{58696980-C6B3-4AD2-AB53-718F1C3C57CA} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{7BE6B643-6201-4CF7-B8B1-D79FFAE57CBA} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AleWinSecure.WinSecure.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AleWinSecure.WinSecure (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{A75E294E-C047-4D29-B07E-37B792881BEF} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{97641909-2311-4513-8581-F5C84B3F05F2} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{1D2CC793-B043-4DD2-A52C-3D9ADE61BBBD} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\SampleTrack.AleTrack.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\SampleTrack.AleTrack (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A75E294E-C047-4D29-B07E-37B792881BEF} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A75E294E-C047-4D29-B07E-37B792881BEF} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635853} (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\AppID\AleWinSecure.EXE (Trojan.Agent) -> No action taken.

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{6780A29E-6A18-0C70-1DFF-1610DDE00108} (Trojan.Agent) -> Value: {6780A29E-6A18-0C70-1DFF-1610DDE00108} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Value: {F710FA10-2031-3106-8872-93A2B5C5C620} -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Value: {02FFAC45-0B10-5633-4296-1801F1A36678} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Value: NoFolderOptions -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo) -> Value: Microsoft Driver Setup -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun (PUM.Hijack.Run) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig (Windows.Tool.Disabled) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
c:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\documents and settings\downloads\Архивы\avz4 - антивирус\Infected\2011-02-06\avz00001.dta (Worm.Conficker) -> No action taken.
c:\documents and settings\downloads\Архивы\avz4 - антивирус\Infected\2011-02-07\avz00001.dta (Worm.Conficker) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\5BS5IZKX\0[1].zip (Trojan.SpyEyes) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\5BS5IZKX\0[2].zip (Trojan.SpyEyes) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\5BS5IZKX\udv[1].exe (Rogue.WindowsDisk) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81SV0Z8V\8[1].zip (Trojan.SpyEyes) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81SV0Z8V\app[1].exe (Spyware.Passwords) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81SV0Z8V\i96[1].exe (Rogue.WindowsDisk) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81SV0Z8V\r96[1].exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\81SV0Z8V\udv[3].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QV4V4RI5\2[1].zip (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QV4V4RI5\6[1].zip (Trojan.SpyEyes) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QV4V4RI5\8[1].zip (Trojan.SpyEyes) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QV4V4RI5\8[2].zip (Trojan.SpyEyes) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QV4V4RI5\9[1].zip (Trojan.SpyEyes) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QV4V4RI5\kdmotnr[1].jpg (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QV4V4RI5\r96[1].exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SF8FONIN\4[1].zip (Trojan.SpyEyes) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SF8FONIN\9[1].zip (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SF8FONIN\i96[1].exe (Rogue.WindowsDisk) -> No action taken.
c:\documents and settings\Апейрон\doctorweb\quarantine\acleaner.exe (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\s-1-5-21-2025429265-1364589140-1801674531-1003\Dc5.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0006586.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0009594.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0009595.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0010593.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0010596.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011592.exe (Trojan.Scar) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011599.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011602.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011656.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011657.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011659.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011660.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011661.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011663.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011664.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011666.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011667.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011670.exe (Worm.Zeroll) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011671.exe (Worm.Zeroll) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011672.exe (Worm.Zeroll) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011674.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011675.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011676.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011677.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011678.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011679.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011681.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011683.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011684.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011685.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011689.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011690.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011691.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011692.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011693.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011694.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011695.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011696.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011697.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011699.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011700.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011701.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011680.exe (Trojan.Scar) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011698.exe (Rogue.WindowsDisk) -> No action taken.
c:\system volume information\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\RP6\A0011836.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('E:\Windows\System32\win.com','');
 QuarantineFile('E:\Windows\System32\graftabl.com','');
 QuarantineFile('C:\WINDOWS\lsass.exe','');
 DeleteService('kkdc');
 DeleteFile('C:\WINDOWS\lsass.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Сделайте повторный лог MBAM
- Сделайте повторный лог virusinfo_syscheck.zip;

**Апейрон** · 19.02.2011, 10:03

В MBAM всё удалил. Во вложении лог удаления и повторный лог сканирования MBAM после удаления. Также лог повторного сканирования в avz.

Карантин выслал. Кстати, файла C:\WINDOWS\lsass.exe не существует (и вроде, и не было).

Несмотря на проведённые действия, команда "Выполнить" по-прежнему недоступна.

**thyrex** · 19.02.2011, 10:56

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun (PUM.Hijack.Run) -> Bad: (1) Good: (0) -> Delete on reboot.

После исправления этой записи команда Выполнить должна появиться. Если нет, попробуйте запустить ее нажатием Win+R

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\1025m.exe','');
 DeleteService('RSVPMSDTC');
 DeleteFile('C:\WINDOWS\system32\1025m.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**Апейрон** · 25.02.2011, 03:28

После исправления этой записи команда Выполнить должна появиться.

Исправил. Команда "Выполнить" появилась. До этого к данному параметру реестра не было доступа на изменение.

Пришлите карантин согласно Приложения 3 правил по красной ссылке

Карантин прислать не получается. Пишет: "Результат загрузки: Unknown error. File not uploaded". Пробовал несколько раз.

Логи сделал, прилагаю.

**polword** · 25.02.2011, 10:24

что с проблемами?
Обновляйте систему

**Апейрон** · 20.10.2011, 04:36

что с проблемами?

Да вроде с того момента пока полёт нормальный. Не на что жаловаться. Только один момент меня беспокоит.

В первую неделю февраля, когда при каждой загрузке Win XP у меня в диспетчере задач резвились эти твари, в один из дней (7 февраля 2011) сразу после загрузки ОС в диспетчере наряду с прочими появился процесс kb958644.exe. Он некоторое время повисел, а потом пропал. И после этого я заметил (заметил ещё в феврале, пишу сейчас), что в папке WINDOWS у меня появились 2 новые скрытые папки $hf_mig$ и $NtUninstallKB958644$. Состав первой папки:

Код:

$hf_mig$\KB958644\update\branches.inf
$hf_mig$\KB958644\update\eula.txt
$hf_mig$\KB958644\update\KB958644.CAT
$hf_mig$\KB958644\SP3QFE\netapi32.dll
$hf_mig$\KB958644\SP3GDR\netapi32.dll
$hf_mig$\KB958644\SP2QFE\netapi32.dll
$hf_mig$\KB958644\update\spcustom.dll
$hf_mig$\KB958644\spmsg.dll
$hf_mig$\KB958644\spuninst.exe
$hf_mig$\KB958644\update\update.exe
$hf_mig$\KB958644\update\update.ver
$hf_mig$\KB958644\update\update_SP2QFE.inf
$hf_mig$\KB958644\update\update_SP3GDR.inf
$hf_mig$\KB958644\update\update_SP3QFE.inf
$hf_mig$\KB958644\update\updatebr.inf
$hf_mig$\KB958644\update\updspapi.dll

Состав второй папки:

Код:

$NtUninstallKB958644$\netapi32.dll
$NtUninstallKB958644$\spuninst\spuninst.exe
$NtUninstallKB958644$\spuninst\spuninst.inf
$NtUninstallKB958644$\spuninst\spuninst.txt
$NtUninstallKB958644$\spuninst\updspapi.dll

Одновременно с указанными выше каталогами ещё одна папка с именем e5e3540da721465ad32e06cb70d3 была создана в корне раздела, где установлена Win Vista. В ней лежат следующие файлы:

Код:

\update\branches.inf
\update\eula.txt
\update\KB958644.CAT
\SP3QFE\netapi32.dll
\SP3GDR\netapi32.dll
\SP2QFE\netapi32.dll
\SP2GDR\netapi32.dll
\update\spcustom.dll
\spmsg.dll
\spuninst.exe
\update\update.exe
\update\update.ver
\update\update_SP2GDR.inf
\update\update_SP2QFE.inf
\update\update_SP3GDR.inf
\update\update_SP3QFE.inf
\update\updatebr.inf
\update\updspapi.dll

Все последующие проверки, результаты которых были приведены в сообщениях выше, ничего в этих файлах, как видно, не нашли, но мне всё же интересно, что это за фигня? В файле eula.txt написано, что это дополнение Microsoft. Но никакие дополнения/обновления я не загружал и не устанавливал, они у меня вообще отключены. Поэтому появление данных папок именно в период борьбы с вирусами выглядит как-то странно.

**Bratez** · 20.10.2011, 08:44

Эти папки создаются при установке обновлений на Windows. Значит, все-таки устанавливали каким-то образом. Можете эти папки поудалять, ничего не потеряете.

**CyberHelper** · 21.10.2011, 08:44

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 18
В ходе лечения обнаружены вредоносные программы:
1. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Trojan.Win32.Pincav.aytk ( DrWEB: Trojan.Inject.57562, BitDefender: Trojan.Generic.6173144, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Ruskill-BK [Trj] )
2. c:\\windows\\system32\\igfxdkv32.exe - Net-Worm.Win32.Kolab.ted ( DrWEB: BackDoor.IRC.Bot.780, BitDefender: Trojan.Generic.5890372, NOD32: Win32/Slenfbot.AD worm, AVAST4: Win32:AutoRun-BVG [Trj] )
3. c:\\windows\\system32\\31.exe - Net-Worm.Win32.Kolab.tje ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.125278, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
4. c:\\windows\\system32\\87.exe - Trojan-Downloader.Win32.Small.bltc ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.126517, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeSysdef-CG [Trj] )
5. d:\\system volume information\\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\\rp6\\a0006597.exe - Trojan-Proxy.Win32.Puma.auf ( DrWEB: Win32.HLLM.Xgray, BitDefender: Worm.VB.Wukill.B, AVAST4: Win32:Wukill-B [Wrm] )
6. d:\\system volume information\\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\\rp6\\a0006598.exe - Trojan-Proxy.Win32.Puma.auf ( DrWEB: Win32.HLLM.Xgray, BitDefender: Worm.VB.Wukill.B, AVAST4: Win32:Wukill-B [Wrm] )
7. d:\\system volume information\\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\\rp6\\a0006599.exe - Trojan-Proxy.Win32.Puma.auf ( DrWEB: Win32.HLLM.Xgray, BitDefender: Worm.VB.Wukill.B, AVAST4: Win32:Wukill-B [Wrm] )
8. d:\\system volume information\\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\\rp6\\a0006600.exe - Trojan-Proxy.Win32.Puma.auf ( DrWEB: Win32.HLLM.Xgray, BitDefender: Worm.VB.Wukill.B, AVAST4: Win32:Wukill-B [Wrm] )
9. d:\\system volume information\\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\\rp6\\a0006601.exe - Trojan-Proxy.Win32.Puma.auf ( DrWEB: Win32.HLLM.Xgray, BitDefender: Worm.VB.Wukill.B, AVAST4: Win32:Wukill-B [Wrm] )
10. d:\\system volume information\\_restore{a61ac1ab-7a41-4132-9561-57fb6baa893b}\\rp6\\a0006602.exe - Trojan-Proxy.Win32.Puma.auf ( DrWEB: Win32.HLLM.Xgray, BitDefender: Worm.VB.Wukill.B, AVAST4: Win32:Wukill-B [Wrm] )

ggdrive32.exe и прочие паразиты (заявка № 97581)

Опции темы

ggdrive32.exe и прочие паразиты

Антивирусная помощь

Итог лечения

Похожие темы

Нужна помощь. Паразиты.

Паразиты препятствуют установке антивирусной программы

Паразиты.

паразиты

!ПОМОГИТЕ! СОВСЕМ ПАРАЗИТЫ ЗАЕЛИ!

Ваши права в разделе