-
Junior Member
- Вес репутации
- 49
ggdrive32.exe
Изначально в диспетчере задач висела эта гадость ggdrive32.exe.(лежал в корневой папке Windows)
Симптомы:
1.Повисал интернет,зависала локальная сеть(интернет работает через локалку - особенности провацдера) примерно через 5 минут после подключения к интернету.
2.Фаерволл(agnitum outpost) постоянно фиксировал попытки этого файла попасть в сеть на левые ИП адреса.
3.По какой то причине при подключенном интернете загрузка ЦП стала подниматься до 100% что вызывало подвисания системы.
4.В папке system32 появлялись числовые exe файлы(типа 10.ехе,85.ехе)
Что было сделано:
1. Переустановлена система(с форматированием системного раздела) - но вирус все равно вновь появился.
2. Был вручную выловлен и убит файл ggdrive32.exe - вместо него был создан пустой текстовый файл с таким же именем. (файл перестал светиться в диспетчере задач - но симптомы тем не менее сохраняются)
3. Из папки system32 были убиты все числовые ехе файлы
Что происходит сейчас:
1. Explorer.exe пытается попасть на те же адреса на которые ранее пытался попасть ggdrive32.exe
2. Процессы озаглавленные в фаерволле как N\A и System тоже пытаются пробится на эти IP адреса.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 49
Обновил.
Скрипт пишет часто используемых уязвимостей не обнаружено.
Лог прикрепил.
-
1.удалите в MBAM
Код:
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Spyware.Passwords.XGen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
Заражённые файлы:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\s-1-5-21-448539723-1708537768-1417001333-500\Dc23.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\ggdrive32.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\75.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\77.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\80.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\27.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\05.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\00.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\76.exe (Spyware.Passwords.XGen) -> No action taken.
e:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\II0153FH\udv[1].exe (Spyware.Passwords.XGen) -> No action taken.
e:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\924K1ILL\z96[1].exe (Spyware.Passwords.XGen) -> No action taken.
e:\documents and settings\администратор\mss.exe (Spyware.Passwords.XGen) -> No action taken.
e:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\VKLOG09K\ms[1].exe (Spyware.Passwords.XGen) -> No action taken.
e:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\VKLOG09K\udv[1].exe (Spyware.Passwords.XGen) -> No action taken.
2. Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('e:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
DeleteFileMask('e:\documents and settings\администратор\local settings\temporary internet files\Content.IE5', '*.*', true);
QuarantineFile('c:\моя папка\Игры\игрушки\Бегалки\алекс гордон.exe','');
QuarantineFile('d:\uploads ^_^\Игры-2\игрушки\Шарики\город самоцветов.exe','');
QuarantineFile('d:\uploads ^_^\Игры-2\игрушки\Бегалки\Непоседа.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог MBAM
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 49
По иронии судьбы дубли папок с играми были вчера удалены. Остально сделаю.
Добавлено через 4 часа 25 минут
Логи MBAM и virusinfo_syscheck прикрепил. Файл карантин весит 1кб - внутри архива пусто. Потому что папки d:\uploads ^_^\Игры-2\ и c:\моя папка\Игры\ были удалены для освобождения свободного места.
Последний раз редактировалось Liymara; 05.02.2011 в 10:28.
Причина: Добавлено
-
Сообщение от
Liymara
Логи MBAM и virusinfo_syscheck прикрепил.
Что-то нового не видно ничего
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-