Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

мутанты вируса cfdrive32 (заявка № 94082)

  1. #1
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23

    Thumbs up мутанты вируса cfdrive32

    все началось именно с появления cfdrive32,который грузил сиситему,затруднял выход в инет,открывал папку мои документы.удалялся,нос последующей перезагрузкой компа опять запускался. помог только Вами предоставленный скрипт. но не надолго.недели через две появился cwdriv32 с теми же симптомами.лечащая утилита от доктор веб не помагала.помог опять Ваш скрипт.прошло еще чуть более недели и уже появилась третья разновидность-gwdrive32. симптомы старые,совершенно не поддается лечению доктором вебом. стал еще агрессивней,тормозит надолго систему,блокирует доступ в инет. пожалуйста,прошу помощи. спасибо.прикрепляю логи:
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R3 - URLSearchHook: (no name) -  - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\gwdrive32.exe');
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');
     TerminateProcessByName('c:\windows\qjurya.exe');
     QuarantineFile('c:\windows\qjurya.exe','');
     TerminateProcessByName('c:\docume~1\admin\locals~1\temp\qqx.exe');
     QuarantineFile('pvmjpg30.dll','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Qqx.exe','');
     QuarantineFile('C:\WINDOWS\Qjurya.exe','');
     QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
     QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
     DeleteFile('C:\WINDOWS\gwdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\88.exe');
     DeleteFile('C:\WINDOWS\system32\86.exe');
     DeleteFile('C:\WINDOWS\system32\84.exe');
     DeleteFile('C:\WINDOWS\system32\82.exe');
     DeleteFile('C:\WINDOWS\system32\80.exe');
     DeleteFile('C:\WINDOWS\system32\75.exe');
     DeleteFile('C:\WINDOWS\system32\74.exe');
     DeleteFile('C:\WINDOWS\system32\72.exe');
     DeleteFile('C:\WINDOWS\system32\71.exe');
     DeleteFile('C:\WINDOWS\system32\68.exe');
     DeleteFile('C:\WINDOWS\system32\67.exe');
     DeleteFile('C:\WINDOWS\system32\62.exe');
     DeleteFile('C:\WINDOWS\system32\53.exe');
     DeleteFile('C:\WINDOWS\system32\48.exe');
     DeleteFile('C:\WINDOWS\system32\46.exe');
     DeleteFile('C:\WINDOWS\system32\43.exe');
     DeleteFile('C:\WINDOWS\system32\42.exe');
     DeleteFile('C:\WINDOWS\system32\41.exe');
     DeleteFile('C:\WINDOWS\system32\40.exe');
     DeleteFile('C:\WINDOWS\system32\36.exe');
     DeleteFile('C:\WINDOWS\system32\26.exe');
     DeleteFile('C:\WINDOWS\system32\24.exe');
     DeleteFile('C:\WINDOWS\system32\23.exe');
     DeleteFile('C:\WINDOWS\system32\21.exe');
     DeleteFile('C:\WINDOWS\system32\16.exe');
     DeleteFile('C:\WINDOWS\system32\15.exe');
     DeleteFile('C:\WINDOWS\system32\11.exe');
     DeleteFile('C:\WINDOWS\system32\08.exe');
     DeleteFile('C:\WINDOWS\system32\00.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
     DeleteFile('C:\WINDOWS\Qjurya.exe');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Qqx.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','JP595IR86O');
     DeleteFile('c:\windows\qjurya.exe');  
     DeleteFile('C:\RECYCLER\S-1-5-21-5183083927-1056431136-399927337-0276\csisd.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-6317296224-6759702473-800009461-8877\csidrv.exe');  
     DeleteFile('C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
     DeleteFile('C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');  
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23
    вот логи после выполнения скриптов
    Вложения Вложения

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Нет, это старые логи. Сделайте новые.

  6. #5
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23
    извините,скинул не те логи. вот правильные
    Вложения Вложения

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\38.exe');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\035.exe');  
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23
    вот логи.обратил внимание в моих документах/админ/апликатион дата/ постоянно висит и не удаляется ltzgai.exe/ может в нем причина?
    Вложения Вложения

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');  
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\035.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повторите логи АВЗ

  10. #9
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23
    такие логи:
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23
    предыдущим скриптом ltzgai.exe удалился. после перезагрузки компа опять появился.

  12. #11
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Попробуем их грохнуть из безопасного режима -

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');  
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\035.exe');
      DeleteFile('C:\WINDOWS\system32\38.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Сделайте новые логи АВЗ, ну и сами понаблюдайте и расскажите

  13. #12
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23
    после выполнения последнего скрипта все вернулось на круги своя.опять при загрузке выскакивают мои документы,в процессах трудится gwdriwe32 со всеми вытекающими отсюда последствиями. притом даже в безопасном режиме открываются мои документы,хотя лишних процессов не наблюдаю.????????? вот вложения:
    Вложения Вложения

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\system32\msvmiode.exe');
     TerminateProcessByName('c:\windows\gwdrive32.exe');
     DeleteFile('C:\WINDOWS\gwdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\37.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Установите все новые обновления для Windows

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23
    логи после выполненных операций:
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23
    вот лог мальваре:
    Вложения Вложения

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Отключите Системное восстановление!!! как- посмотреть можно тут
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте лог MBAM

  18. #17
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23
    все помагает,все хорошо,пока комп не подключен к инету. стоит только подключится,вся эта дрянь сразу начинает пролезать в компьютер. антивирус не помагает. пробовал и аваст о доктор веб-результат тот же.
    Вложения Вложения

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Цитата Сообщение от thyrex Посмотреть сообщение
    Установите все новые обновления для Windows
    Это сделали? Без него никак
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    29
    Вес репутации
    23
    установил последние обновления,прогнал мальваре,вот лог,пока все нормально
    Вложения Вложения

  21. #20
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Сейчас не пояляются?

  • Уважаемый(ая) delaris, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. cfdrive32.exe
      От REKOP в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.12.2010, 22:11
    2. cfdrive32.exe и трояны.
      От tofu в разделе Помогите!
      Ответов: 54
      Последнее сообщение: 07.12.2010, 07:33
    3. cfdrive32
      От aavrs в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.11.2010, 00:07
    4. CFDRIVE32 и что-то еще...
      От regg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.09.2010, 16:19
    5. Трояны-мутанты атакуют!
      От Черепахина в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:08

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00430 seconds with 22 queries