Здравствуйте, появились проблемы с вирусами jjdrive.exe , ccdrive.exe, avd32 , wshost32.exe
Вирусы Jjdrive,ccdrive и тд.
Здравствуйте, появились проблемы с вирусами jjdrive.exe , ccdrive.exe, avd32 , wshost32.exe
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте.
Обновите базы AVZ!
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\jjdrive32.exe'); QuarantineFile('C:\WINDOWS\system32\wshost32.exe',''); QuarantineFile('C:\WINDOWS\system32\avd32.exe',''); QuarantineFile('C:\WINDOWS\ccdrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9635576317-5253890368-048902125-0276\msdrive.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1204025415-9311100457-973279632-6934\wmfcgr.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9605583331-0297411023-241560330-5158\sysdrv.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\WINDOWS\jjdrive32.exe',''); DeleteFile('C:\WINDOWS\jjdrive32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); DeleteFile('C:\RECYCLER\S-1-5-21-9635576317-5253890368-048902125-0276\msdrive.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1204025415-9311100457-973279632-6934\wmfcgr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9605583331-0297411023-241560330-5158\sysdrv.exe'); DeleteFile('C:\WINDOWS\ccdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup'); DeleteFile('C:\WINDOWS\system32\avd32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','avd32'); DeleteFile('C:\WINDOWS\system32\wshost32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32'); BC_ImportAll; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите их в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
непомоглои появляются ещё процессы в виде цифр "84,95" и тд"
Последний раз редактировалось dazman; 14.01.2010 в 16:03.
в ожидании ответа попробовал ещё раз выполнить скрит,вроде бы помогло,большое вам спасибо )
Добавлено через 4 минуты
процессы в виде цифр всеравно остались..
Добавлено через 13 минут
jjdrive32.exe вернулся (
Последний раз редактировалось dazman; 14.01.2010 в 19:15. Причина: Добавлено
Повторите еще раз лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Лог
уже вернулись все вирусы
Ещё 1 лог
Последний раз редактировалось dazman; 14.01.2010 в 20:40.
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\wshost32.exe'); TerminateProcessByName('c:\windows\jjdrive32.exe'); TerminateProcessByName('c:\windows\ccdrive32.exe'); TerminateProcessByName('c:\windows\system32\10.exe'); DeleteFile('c:\windows\system32\10.exe'); DeleteFile('c:\windows\ccdrive32.exe'); DeleteFile('c:\windows\jjdrive32.exe'); DeleteFile('c:\windows\system32\wshost32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-3122271822-7979364120-322352722-4515\sysdrv.exe'); DeleteFile('C:\WINDOWS\ccdrive32.exe'); DeleteFile('C:\WINDOWS\jjdrive32.exe'); DeleteFile('C:\WINDOWS\system32\avd32.exe'); DeleteFile('C:\WINDOWS\system32\wshost32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-3442762996-7265763144-201968091-3371\msdrive.exe,C:\RECYCLER\S-1-5-21-3122271822-7979364120-322352722-4515\sysdrv.exe,C:\RECYCLER\S-1-5-21-0584347128-6462121816-285696765-1161\wmfcgr.exe,C:\RECYCLER\S-1-5-21-2595998757-4193941084-771997739-8000\wmfcgr.exe,C:\RECYCLER\S-1-5-21-7608600313-8568875982-188596387-3568\sysdrv.exe,C:\RECYCLER\S-1-5-21-2853659293-4738575714-943977240-4098\sysdrv.exe,C:\RECYCLER\S-1-5-21-6815632268-1221044498-724098864-5791\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0536025722-9186607160-630029378-8139\msdrive.exe,Explorer.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','avd32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Скачайте AVPTool и сделайте проверку диска C
После этого сделайте новые логи по правилам.
удалил ранее стоявший нод,поставил касперский,увидел что svchost.exe пытается каждую минуту загружать файлы с сайта zonetech.info и каждую минуту касперский удаляет вирус
Логи
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:R3 - URLSearchHook: (no name) - - (no file)
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\03.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9800940198-0381272914-139437053-6683\sysdrv.exe,C:\RECYCLER\S-1-5-21-4985430620-5145501968-131354459-2780\wmfcgr.exe,explorer.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-4985430620-5145501968-131354459-2780\wmfcgr.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-4985430620-5145501968-131354459-2780\wmfcgr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9800940198-0381272914-139437053-6683\sysdrv.exe,C:\RECYCLER\S-1-5-21-4985430620-5145501968-131354459-2780\wmfcgr.exe,explorer.exe'); DeleteFile('C:\WINDOWS\system32\03.exe'); DeleteFile('C:\WINDOWS\system32\05.exe'); DeleteFile('C:\WINDOWS\system32\14.exe'); DeleteFile('C:\WINDOWS\system32\40.exe'); DeleteFile('C:\WINDOWS\system32\50.exe'); DeleteFile('C:\WINDOWS\system32\64.exe'); DeleteFile('C:\WINDOWS\system32\82.exe'); DeleteFile('C:\WINDOWS\system32\86.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новый лог virusinfo_syscheck.zip
непомогло
Лог
Сделайте лог MBAM
Лог MBAB
Удалите в МБАМ:
Как самочувствие?Код:Заражено папок: C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
через минут 20 напишу,чтобы узнать точно,загляните пожалуйсто в ету тему через минуток 20.
Добавлено через 5 минут
непомогло
Последний раз редактировалось dazman; 15.01.2010 в 02:35. Причина: Добавлено
Антивирус опять что-то обнаруживает?
Обновите базы Касперского, отключите интернет и сделайте полную проверку дисков
Обновите Internet Explorer до 8 версии! Очистите временные папки используемого Вами браузера. Отпишитесь.
+ к DefesT
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Клиентами P2P пользуетесь?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Да опять Свхост пытается загрузить файлы с Зонтеч.инфо
клиенты P2P - нахожусь в сети
+ лог проверки касперским
ещё выскачила ошибка 1 раз Generetic host process for win32 services
и при попытке загрузить чтото с сайта Свхостом касперский пишет Запрещено и в графе Программа пишет Generic host process for win32 services (в каждой попытке)
Вот лог Generetic Host Process
P2P непользуюсь
Последний раз редактировалось dazman; 15.01.2010 в 17:29.
Уважаемый(ая) dazman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
