-
Junior Member
- Вес репутации
- 50
мутанты вируса cfdrive32
все началось именно с появления cfdrive32,который грузил сиситему,затруднял выход в инет,открывал папку мои документы.удалялся,нос последующей перезагрузкой компа опять запускался. помог только Вами предоставленный скрипт. но не надолго.недели через две появился cwdriv32 с теми же симптомами.лечащая утилита от доктор веб не помагала.помог опять Ваш скрипт.прошло еще чуть более недели и уже появилась третья разновидность-gwdrive32. симптомы старые,совершенно не поддается лечению доктором вебом. стал еще агрессивней,тормозит надолго систему,блокирует доступ в инет. пожалуйста,прошу помощи. спасибо.прикрепляю логи:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\gwdrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\qjurya.exe');
QuarantineFile('c:\windows\qjurya.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\qqx.exe');
QuarantineFile('pvmjpg30.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Qqx.exe','');
QuarantineFile('C:\WINDOWS\Qjurya.exe','');
QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\62.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\Qjurya.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Qqx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','JP595IR86O');
DeleteFile('c:\windows\qjurya.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5183083927-1056431136-399927337-0276\csisd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6317296224-6759702473-800009461-8877\csidrv.exe');
DeleteFile('C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteFile('C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
вот логи после выполнения скриптов
-
Нет, это старые логи. Сделайте новые.
-
-
Junior Member
- Вес репутации
- 50
извините,скинул не те логи. вот правильные
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\035.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
вот логи.обратил внимание в моих документах/админ/апликатион дата/ постоянно висит и не удаляется ltzgai.exe/ может в нем причина?
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\035.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи АВЗ
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
предыдущим скриптом ltzgai.exe удалился. после перезагрузки компа опять появился.
-
Попробуем их грохнуть из безопасного режима -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\035.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Сделайте новые логи АВЗ, ну и сами понаблюдайте и расскажите
-
-
Junior Member
- Вес репутации
- 50
после выполнения последнего скрипта все вернулось на круги своя.опять при загрузке выскакивают мои документы,в процессах трудится gwdriwe32 со всеми вытекающими отсюда последствиями. притом даже в безопасном режиме открываются мои документы,хотя лишних процессов не наблюдаю.????????? вот вложения:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\gwdrive32.exe');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\37.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Установите все новые обновления для Windows
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
логи после выполненных операций:
-
Junior Member
- Вес репутации
- 50
-
Отключите Системное восстановление!!! как- посмотреть можно тут
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
все помагает,все хорошо,пока комп не подключен к инету. стоит только подключится,вся эта дрянь сразу начинает пролезать в компьютер. антивирус не помагает. пробовал и аваст о доктор веб-результат тот же.
-
Сообщение от
thyrex
Это сделали? Без него никак
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
установил последние обновления,прогнал мальваре,вот лог,пока все нормально
-
-
