Здравствуйте!
Симптомы:
- тормоза системы
- после ребута падает svchost и explorer
- жуткий трафик
- в процессах висят "msvmiode.exe" и "ggdrive32.exe"
- постоянные "стуки" в сетевой экран Avast! с вредоносных ))) сайтов.
Здравствуйте!
Симптомы:
- тормоза системы
- после ребута падает svchost и explorer
- жуткий трафик
- в процессах висят "msvmiode.exe" и "ggdrive32.exe"
- постоянные "стуки" в сетевой экран Avast! с вредоносных ))) сайтов.
Здравствуйте.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\gwdrive32.exe',''); QuarantineFile('C:\WINDOWS\system32\87.exe',''); QuarantineFile('C:\WINDOWS\system32\72.exe',''); QuarantineFile('C:\WINDOWS\system32\47.exe',''); QuarantineFile('C:\WINDOWS\system32\38.exe',''); QuarantineFile('C:\WINDOWS\system32\37.exe',''); QuarantineFile('C:\WINDOWS\system32\10.exe',''); QuarantineFile('C:\WINDOWS\system32\00.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); QuarantineFile('C:\WINDOWS\ggdrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7012630253-1838209388-705536984-3779\csisf.exe',''); QuarantineFile('C:\Documents and Settings\Fox.FOXBOOK\Application Data\bowcav.exe',''); QuarantineFile('C:\Documents and Settings\Fox.FOXBOOK\Application Data\ltzqai.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-5211092108-0063654115-488175918-8583\csisd.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe',''); QuarantineFile('C:\Documents and Settings\Fox.FOXBOOK\Application Data\oekx.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\CprDrvr.sys',''); DeleteFile('C:\Documents and Settings\Fox.FOXBOOK\Application Data\ltzqai.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-5211092108-0063654115-488175918-8583\csisd.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe'); DeleteFile('C:\Documents and Settings\Fox.FOXBOOK\Application Data\oekx.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-7012630253-1838209388-705536984-3779\csisf.exe'); DeleteFile('C:\WINDOWS\ggdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('C:\WINDOWS\system32\00.exe'); DeleteFile('C:\WINDOWS\system32\10.exe'); DeleteFile('C:\WINDOWS\system32\37.exe'); DeleteFile('C:\WINDOWS\system32\38.exe'); DeleteFile('C:\WINDOWS\system32\47.exe'); DeleteFile('C:\WINDOWS\system32\72.exe'); DeleteFile('C:\WINDOWS\system32\87.exe'); DeleteFile('C:\WINDOWS\gwdrive32.exe'); BC_ImportAll; ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU', 2, 2, true); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Запустите/включите антивирус/файрволл.Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Все инструкции выполнены. "Циферки" все еще в системе (( хотя стало полегче..
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\RECYCLER\S-1-5-21-7307255284-4716324231-833450637-0887\csisf.exe',''); QuarantineFile('C:\WINDOWS\system32\68.exe',''); QuarantineFile('C:\WINDOWS\system32\17.exe',''); QuarantineFile('C:\WINDOWS\system32\05.exe',''); DeleteFile('C:\WINDOWS\system32\05.exe'); DeleteFile('C:\WINDOWS\system32\17.exe'); DeleteFile('C:\WINDOWS\system32\68.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-7307255284-4716324231-833450637-0887\csisf.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Среди прочего у вас сетевой червь, проникающий через уязвимости.
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
И снова я покорно все сделал.. здоровье то важнее ))
Логи в ответ на запрос polword
Лог в ответ на запрос Nikkollo
- удалите в MBAM
- Выполните скрипт в AVZКод:Заражённые параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell (Trojan.Agent) -> Value: Shell -> No action taken.
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('c:\documents and settings\fox.foxbook\pf.exe',''); QuarantineFile('c:\documents and settings\fox.foxbook\application data\bowcav.exe',''); QuarantineFile('c:\documents and settings\networkservice.nt authority\local settings\temporary internet files\Content.IE5\MTM4ZBMG\63[1].exe',''); QuarantineFile('c:\documents and settings\networkservice.nt authority\local settings\temporary internet files\Content.IE5\XI6R3VHY\xx4[1].exe',''); DeleteFile('c:\documents and settings\networkservice.nt authority\local settings\temporary internet files\Content.IE5\MTM4ZBMG\63[1].exe'); DeleteFile('c:\documents and settings\networkservice.nt authority\local settings\temporary internet files\Content.IE5\XI6R3VHY\xx4[1].exe'); DeleteFileMask('c:\documents and settings\networkservice.nt authority\local settings\temporary internet files\Content.IE5', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Сделайте повторный лог MBAM
Пройдите по всем ссылкам (http://...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Программами P2P пользуетесь? (пиринг, StrongDC, EMule и подобные)
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Мужики, спасибо за помощь и терпение. Похоже дело движется к концу.
Ответы:
- Нет, на данной машине P2P не пользую.
- Все апдейты установлены, уязвимости отсутствуют (по результатам скрипта).
В аттаче логи MBMA и AVZ. Лог от AVZ прилагаю, т.к. обнаружена еще одна дрянь - C:\WINDOWS\system32\32.exe.
P.S. Пока симптомы болезни отсутствуют, система стабильна.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\32.exe',''); DeleteFile('C:\WINDOWS\system32\32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Похоже, все чисто!
Огромная благодарность всем специалистам, принявшим участие в убиении дракона.
С уважением,
Woodkot.
Больше подозрительного не обнаружил.
Если не затруднит:
Прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Файл сохранён как110120_201008_virusinfo_files_NORILSK_4d386c70a cd94.zipРазмер файла9095825MD59e5e5e76c74d5b76c7b031733ce3e7d8
Спасибо. В файлах подозрительного не обнаружено.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 71
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\fox.foxbook\\application data\\bowcav.exe - Trojan.Win32.Pincav.awdt ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.111175, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\fox.foxbook\\pf.exe - Backdoor.Win32.Agent.beyw ( DrWEB: Trojan.DownLoader1.53740, BitDefender: Trojan.Generic.KD.112019, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
- c:\\documents and settings\\networkservice.nt authority\\local settings\\temporary internet files\\content.ie5\\mtm4zbmg\\63[1].exe - P2P-Worm.Win32.Palevo.boor ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.111175, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\networkservice.nt authority\\local settings\\temporary internet files\\content.ie5\\xi6r3vhy\\xx4[1].exe - Packed.Win32.Krap.ig ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.111744, AVAST4: Win32:Malware-gen )
- c:\\windows\\ggdrive32.exe - Packed.Win32.Krap.ig ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5500768, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\gwdrive32.exe - Packed.Win32.Krap.ig ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.5937304, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.ggh ( DrWEB: Trojan.Siggen2.15595, BitDefender: Trojan.Generic.5554446, AVAST4: Win32:FakeAlert-VV [Trj] )
- c:\\windows\\system32\\00.exe - P2P-Worm.Win32.Palevo.boor ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.111175, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\05.exe - IRC-Worm.Win32.Small.il ( DrWEB: Trojan.DownLoader1.53740, BitDefender: Trojan.Generic.KD.112019, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\10.exe - IRC-Worm.Win32.Small.il ( DrWEB: Trojan.DownLoader1.53740, BitDefender: Trojan.Generic.KD.112019, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\17.exe - Packed.Win32.Krap.ig ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.111744, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\37.exe - P2P-Worm.Win32.Palevo.bkhw ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Gen:Variant.Kazy.6748, AVAST4: Win32:FakeSysdef-J [Trj] )
- c:\\windows\\system32\\38.exe - IRC-Worm.Win32.Small.il ( DrWEB: Trojan.DownLoader1.53740, BitDefender: Trojan.Generic.KD.112019, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\47.exe - P2P-Worm.Win32.Palevo.bkhx ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.5266220, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:FakeSysdef-J [Trj] )
- c:\\windows\\system32\\68.exe - IRC-Worm.Win32.Small.il ( DrWEB: Trojan.DownLoader1.53740, BitDefender: Trojan.Generic.KD.112019, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\72.exe - P2P-Worm.Win32.Palevo.bkhw ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Gen:Variant.Kazy.6748, AVAST4: Win32:FakeSysdef-J [Trj] )
- c:\\windows\\system32\\87.exe - IRC-Worm.Win32.Small.il ( DrWEB: Trojan.DownLoader1.53740, BitDefender: Trojan.Generic.KD.112019, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Woodkot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.