Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Вирус: mcdriver32.exe (заявка № 53218)

  1. #1
    Junior Member Репутация
    Регистрация
    29.08.2009
    Сообщений
    11
    Вес репутации
    54

    Question Вирус: mcdriver32.exe

    Добрый день. Собственно прошу о помощи появилась такая зараза ещё имеет вид (число).exe. Блокирует выход в интернет через любой браузер: почистил реестр удалил систем волюм удалил автораны, удалил его с диска "с" масимум пропадает на 5 часов через 5 часов снова запускается. В логе хайджека он в 2х пунктах...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteRepair(13);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
     QuarantineFile('C:\WINDOWS\mcdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0282481878-8163950110-322674403-0650\csvcs.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0282481878-8163950110-322674403-0650\csvcs.exe');
     DeleteFile('C:\WINDOWS\mcdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\wshost32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

    Установите Adobe Acrobat Reader 9.1.3 или удалите старый.

  4. #3
    Junior Member Репутация
    Регистрация
    29.08.2009
    Сообщений
    11
    Вес репутации
    54
    Вот сделал.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 29.08.2009 в 18:50. Причина: quarantine removed

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы..
    А что Вы сделали?

  6. #5
    Junior Member Репутация
    Регистрация
    29.08.2009
    Сообщений
    11
    Вес репутации
    54
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А что Вы сделали?
    я извиняюсь я что то неправильно прислал? или нужно ещё раз прислать?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от АРТЁМ Посмотреть сообщение
    я извиняюсь я что то неправильно прислал?
    Вы карантин в тему прикрепили.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от АРТЁМ
    Я из этой темы: http://virusinfo.info/forumdisplay.php?f=46 более 5 часов прошло после выполненного скрипта который вы написали и вирус пока не обьявился. Означает ли всё что у меян нет вируса? и если я переустановлю винду всё будет норм или лучше карантин удалить? И ещё вопрос почему модератор удалил карантин кот орый вы попросили скинуть? Заранее приного благодарен изиняюсь что задаю глупые вопрос но разобраться сам не могу извиняюсь за беспокойство.
    Вируса и не было у вас был троян.
    Windows переустанавливать не обязательно.
    Карантин надо загрузить используя ссылку Прислать запрошенный карантин, вверху вашей темы.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    + AndreyKa
    изиняюсь что задаю глупые вопрос
    глупых вопросов не бывает - бывают глупые ответы.
    разобраться сам не могу
    Цитата Сообщение от Правила
    Если Вы не понимаете, что Вас просят сделать, то в этом случае Вам лучше обратиться к специалистам ближайшей компьютерной фирмы.

  10. #9
    Junior Member Репутация
    Регистрация
    29.08.2009
    Сообщений
    11
    Вес репутации
    54
    Прошло 2 дня и он снова появился((( как защитить подскажите.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    227
    АРТЁМ, SP3 ставить и обновления загружать. Делайте логи.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  12. #11
    Junior Member Репутация
    Регистрация
    29.08.2009
    Сообщений
    11
    Вес репутации
    54
    Вот сделал
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    227
    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8077807168-5666321432-119238476-2511\csvcs.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
     TerminateProcessByName('c:\windows\mcdrive32.exe');
     QuarantineFile('c:\windows\mcdrive32.exe','');
     TerminateProcessByName('c:\docume~1\804b~1\locals~1\temp\708.exe');
     QuarantineFile('c:\docume~1\804b~1\locals~1\temp\708.exe','');
     DeleteFile('c:\docume~1\804b~1\locals~1\temp\708.exe');
     DeleteFile('c:\windows\mcdrive32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG914-K641-26SF-N32P');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
     DeleteFile('C:\RECYCLER\S-1-5-21-8077807168-5666321432-119238476-2511\csvcs.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\wshost32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     DeleteFileMask('c:\docume~1\804b~1\locals~1\temp\', '*.*', true);
     DeleteFileMask('%Tmp%', '*.*', true);
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteRepair(9);
     ExecuteRepair(13);
     BC_Activate;
     SetAVZPMStatus(true);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

    Готовьте новые логи.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  14. #13
    Junior Member Репутация
    Регистрация
    29.08.2009
    Сообщений
    11
    Вес репутации
    54
    Очистил диск там очень мало файлов. вот логи.
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Чисто.
    Установите Adobe Acrobat Reader 9.1.3 или удалите старый.

  16. #15
    Junior Member Репутация
    Регистрация
    29.08.2009
    Сообщений
    11
    Вес репутации
    54
    Спасибо большое за скрипт а не подскажите откуда он появляется то вирус?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Попал к вам из сети через уязвимости в Windows.
    c:\windows\mcdrive32.exe = Net-Worm.Win32.Kolab.drn - по русски: сетевой червь.

  18. #17
    Junior Member Репутация
    Регистрация
    29.08.2009
    Сообщений
    11
    Вес репутации
    54
    ну то что из сети то я видел и всю доргу его удалял отовсюду а сейчас с сп3 он больше не пройдёт так сказать ага?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    После SP3 вышло еще несколько десятков патчей. Если они установленны, то не пройдет.

  20. #19
    Junior Member Репутация
    Регистрация
    29.08.2009
    Сообщений
    11
    Вес репутации
    54
    Опять появился как узнать откуда он лезет и можно ли доступ перекрыть?

  21. #20
    Junior Member Репутация
    Регистрация
    29.08.2009
    Сообщений
    11
    Вес репутации
    54
    Помогите пожалуйста скрипты повторял систему сносил касперского включал а они всеровно появляются(((

  • Уважаемый(ая) АРТЁМ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00575 seconds with 17 queries