Junior Member
Вес репутации
49
vsbntlo,txyrm.exe, ggdrive32,wjdrive32 и ...
Плиз требуется помощь
Пытался помочь знакомому, в результате сам "накушался" по реестру сам не смог ничего сделать- ползает Хад, после подключения к инету активизируется!
vsbntlo,txyrm.exe, ggdrive32,wjdrive32 и чота еще может быть.
После перегруза системы между 1 и 2 пунктом система при загрузке на "Свхост" многократно ругнулась.
И ДИКО тормозит С первого раза 2 пункт не удалось выполнить, АВЗ закрылась и перестала переключаться раскладка, пришлось еще раз перегрузиться чтоб вкачать логи.
--------
Ps Не подскажете вероятный путь заражения (ну исполн. файл, почта или)
--------
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Admin\Application Data\bowcav.exe','');
QuarantineFile('D:\WINDOWS\system32\01.exe','');
QuarantineFile('D:\WINDOWS\system32\13.exe','');
QuarantineFile('D:\WINDOWS\system32\14.exe','');
QuarantineFile('D:\WINDOWS\system32\17.exe','');
QuarantineFile('D:\WINDOWS\system32\20.scr','');
QuarantineFile('D:\WINDOWS\system32\21.exe','');
QuarantineFile('D:\WINDOWS\system32\25.exe','');
QuarantineFile('D:\WINDOWS\system32\27.exe','');
QuarantineFile('D:\WINDOWS\system32\32.exe','');
QuarantineFile('D:\WINDOWS\system32\42.exe','');
QuarantineFile('D:\WINDOWS\system32\51.exe','');
QuarantineFile('D:\WINDOWS\system32\68.exe','');
QuarantineFile('D:\WINDOWS\system32\70.exe','');
QuarantineFile('D:\WINDOWS\system32\86.exe','');
QuarantineFile('D:\WINDOWS\system32\txyrm.exe','');
TerminateProcessByName('d:\windows\ggdrive32.exe');
QuarantineFile('D:\WINDOWS\ggdrive32.exe','');
QuarantineFile('D:\CLTest.exe','');
QuarantineFile('D:\Documents and Settings\Admin\pf.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('D:\Documents and Settings\Admin\pf.exe');
DeleteFile('D:\WINDOWS\ggdrive32.exe');
DeleteFile('D:\WINDOWS\system32\txyrm.exe');
DeleteFile('D:\WINDOWS\system32\86.exe');
DeleteFile('D:\WINDOWS\system32\70.exe');
DeleteFile('D:\WINDOWS\system32\68.exe');
DeleteFile('D:\WINDOWS\system32\51.exe');
DeleteFile('D:\WINDOWS\system32\42.exe');
DeleteFile('D:\WINDOWS\system32\32.exe');
DeleteFile('D:\WINDOWS\system32\27.exe');
DeleteFile('D:\WINDOWS\system32\25.exe');
DeleteFile('D:\WINDOWS\system32\21.exe');
DeleteFile('D:\WINDOWS\system32\20.scr');
DeleteFile('D:\WINDOWS\system32\17.exe');
DeleteFile('D:\WINDOWS\system32\14.exe');
DeleteFile('D:\WINDOWS\system32\13.exe');
DeleteFile('D:\WINDOWS\system32\01.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\bowcav.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
- Файл quarantine.zip из папки AVZ пришлите по ссылке Прислать запрошенный карантин .
Повторите логи по правилам. Перед созданием логов
закройте игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер (например, Internet Explorer); если он не запущен - запустите.
Junior Member
Вес репутации
49
Junior Member
Вес репутации
49
да, это программа настройки монитора
Добавлено через 1 минуту
она установлена не только на этом компе, в других местах виря нет- не проявлений по крайней мере
Последний раз редактировалось koalexx; 24.01.2011 в 09:52 .
Причина: Добавлено
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\Documents and Settings\Admin\Application Data\bowcav.exe');
BC_DeleteFile('D:\Documents and Settings\Admin\Application Data\bowcav.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пункт 1 диагностики повторите
Junior Member
Вес репутации
49
Опять пока комп стоял подключенным к инету ggdrive вылез...
Последний раз редактировалось koalexx; 24.01.2011 в 10:34 .
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\windows\ggdrive32.exe');
QuarantineFile('d:\windows\ggdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('D:\WINDOWS\ggdrive32.exe','');
QuarantineFile('D:\WINDOWS\system32\86.exe','');
QuarantineFile('D:\WINDOWS\system32\37.exe','');
QuarantineFile('D:\WINDOWS\system32\30.exe','');
QuarantineFile('D:\WINDOWS\system32\05.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('D:\WINDOWS\system32\05.exe');
DeleteFile('D:\WINDOWS\system32\30.exe');
DeleteFile('D:\WINDOWS\system32\37.exe');
DeleteFile('D:\WINDOWS\system32\86.exe');
DeleteFile('D:\WINDOWS\ggdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('d:\windows\ggdrive32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('D:\Documents and Settings\Admin\pfs.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,Explorer.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Установите все новые обновления для Windows
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
49
Cкрипт выполнил, после перегрузки запустился c Yota чтобы скачать обновления, ругнулся опять на svhost, что не может память быть перезаписана (не знаю имеет ли это отношение, но ранее после крипта так же было), и после этого сильные "тормоза" на компе с "замираниями" между приложениями ТОЛЬКО через Тab+АLT, панель "Пуск" не работает.
По предыдущим экспериментам - заработает после очередного перегруза системы.
У меня уже установлен 8 и sp3. Что именно нужно обновить еще? По ссылке громадный список с поиском.
В системе автоматическое обновление не происходит, т.е. при выборе обновить просто тишина.
Junior Member
Вес репутации
49
Вот сделал таки логи. Карантин отослал также чуть ранее
Вложения
Junior Member
Вес репутации
49
Вот логи после установления Security Service Pack 4 для русской Windows XP SP3
Только что узнал, в сети ggdrive32 тоже на паре компов "гонял" администратор
Блин, куда у вас АВ смотрит...
Сейчас скрипт сделаю
Добавлено через 6 минут
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\87.exe','');
QuarantineFile('D:\WINDOWS\system32\61.exe','');
QuarantineFile('D:\WINDOWS\system32\46.exe','');
QuarantineFile('D:\WINDOWS\system32\36.exe','');
QuarantineFile('D:\WINDOWS\ggdrive32.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Application Data\bowcav.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe,D:\Documents and Settings\Admin\Application Data\bowcav.exe,Explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
TerminateProcessByName('d:\windows\ggdrive32.exe');
QuarantineFile('d:\windows\ggdrive32.exe','');
DeleteFile('d:\windows\ggdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe,D:\Documents and Settings\Admin\Application Data\bowcav.exe,Explorer.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\bowcav.exe');
DeleteFile('D:\WINDOWS\ggdrive32.exe');
DeleteFile('D:\WINDOWS\system32\36.exe');
DeleteFile('D:\WINDOWS\system32\46.exe');
DeleteFile('D:\WINDOWS\system32\61.exe');
DeleteFile('D:\WINDOWS\system32\87.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
шлём карантин.
Делаем логи.
Добавлено через 1 минуту
Для справки
D:\CLTest.exe - not-a-virus:PSWTool.Win32.OEPass.dv
Последний раз редактировалось light59; 24.01.2011 в 17:56 .
Причина: Добавлено
Junior Member
Вес репутации
49
Вот логи, карантин вкачал
Код:
begin
ExecuteWizard('TSW',2,3,true);
end.
Пока ничего плохого.
Junior Member
Вес репутации
49
Буду надеятся Большое спасибо за помощь - последний скрипт к сожалению выполню и проверю теперь только через пару дней.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 4 Обработано файлов: 115 В ходе лечения обнаружены вредоносные программы:
c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Trojan.Win32.Pincav.awwj ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.115940, AVAST4: Win32:Trojan-gen ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - P2P-Worm.Win32.Palevo.bphn ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.115940, AVAST4: Win32:Trojan-gen ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - P2P-Worm.Win32.Palevo.bpga ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, AVAST4: Win32:Trojan-gen ) c:\\windows\\system32\\krdnnsc.dll - Trojan-Ransom.Win32.Cidox.gen ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6258885, NOD32: Win32/Agent.SFM trojan ) d:\\documents and settings\\admin\\application data\\bowcav.exe - P2P-Worm.Win32.Palevo.bpim ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115526, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen ) d:\\documents and settings\\admin\\pf.exe - P2P-Worm.Win32.Palevo.bpgy ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115526, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\ggdrive32.exe - Net-Worm.Win32.Kolab.sel ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5893988, AVAST4: Win32:Trojan-gen ) d:\\windows\\ggdrive32.exe - Net-Worm.Win32.Kolab.sfy ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5750516, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\txyrm.exe - Backdoor.Win32.SdBot.wac ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Backdoor.Bot.133463, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-YLY [Trj] ) d:\\windows\\system32\\01.exe - Packed.Win32.Krap.ig ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115526, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\05.exe - Trojan.Win32.Pincav.awwj ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.115940, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\13.exe - Trojan.Win32.Pincav.awuy ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\14.exe - Trojan.Win32.Pincav.awuy ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\17.exe - Trojan.Win32.Pincav.awvo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\20.scr - Backdoor.Win32.SdBot.wac ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Backdoor.Bot.133463, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-YLY [Trj] ) d:\\windows\\system32\\21.exe - Trojan.Win32.Pincav.awuy ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\25.exe - Trojan.Win32.Pincav.awuy ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\27.exe - Trojan.Win32.Pincav.awuz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\30.exe - Trojan.Win32.Pincav.awwj ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.115940, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\32.exe - Trojan.Win32.Pincav.awuz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\36.exe - Trojan.Win32.Pincav.awwj ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.115940, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\37.exe - Trojan.Win32.Pincav.awwr ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.6699674, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\42.exe - Trojan.Win32.Pincav.awuz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\46.exe - Trojan.Win32.Pincav.awwj ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.115940, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\51.exe - Trojan.Win32.Pincav.awvo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\61.exe - Trojan.Win32.Pincav.awwj ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.115940, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\68.exe - Trojan.Win32.Pincav.awuy ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\70.exe - Trojan.Win32.Pincav.awuz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\86.exe - Trojan.Win32.Pincav.awwj ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.115940, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\86.exe - Trojan.Win32.Pincav.awvo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.115184, AVAST4: Win32:Trojan-gen ) d:\\windows\\system32\\87.exe - Trojan.Win32.Pincav.awwr ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.6699674, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Trojan-gen )