Показано с 1 по 14 из 14.

ggdrive32.exe (заявка № 98169)

  1. #1
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    7
    Вес репутации
    48

    Exclamation ggdrive32.exe

    Постоянно висит в диспетчере задач. А также постоянно появляются файлы 45.exe, 43.scr и т.д. С компьютера постоянно идут сетевые атаки
    Intrusion.Win.NETAPI.buffer-overflow.exploit...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\ggdrive32.exe','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe','');
     DeleteFile('C:\WINNT\system32\16.exe');
     DeleteFile('C:\WINNT\system32\36.exe');
     DeleteFile('C:\WINNT\system32\45.exe');
     DeleteFile('C:\WINNT\system32\65.exe');
     DeleteFile('C:\WINNT\system32\71.exe');
     DeleteFile('C:\WINNT\system32\85.exe');
     DeleteFile('C:\WINNT\ggdrive32.exe');
     DeleteFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_ServiceKill('kixesm');
    BC_Activate;
    SetServiceStart('RemoteRegistry', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    ExecuteWizard('TSW',2,3,true);
    RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=98169).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    7
    Вес репутации
    48
    Выполнил скрипт в АВЗ. Слетел Winroute =( Как его поднять?

    Добавлено через 4 минуты

    А еще когда выбираю Просмотр файлов на карантине, там пусто...
    Последний раз редактировалось spec4pz; 15.02.2011 в 11:40. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Делайте новые логи, будем смотреть дальше.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    7
    Вес репутации
    48
    Вот логи
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635853}');
     QuarantineFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe','');
     QuarantineFile('C:\WINNT\system32\21.exe','');
     QuarantineFile('C:\WINNT\system32\22.exe','');
     QuarantineFile('C:\WINNT\system32\23.exe','');
     QuarantineFile('C:\WINNT\system32\61.exe','');
     QuarantineFile('C:\WINNT\system32\67.exe','');
     QuarantineFile('C:\WINNT\system32\73.exe','');
     QuarantineFile('C:\WINNT\system32\77.exe','');
     QuarantineFile('C:\WINNT\system32\82.exe','');
     QuarantineFile('C:\WINNT\system32\84.exe','');
     DeleteFile('C:\WINNT\system32\21.exe');
     DeleteFile('C:\WINNT\system32\22.exe');
     DeleteFile('C:\WINNT\system32\23.exe');
     DeleteFile('C:\WINNT\system32\61.exe');
     DeleteFile('C:\WINNT\system32\67.exe');
     DeleteFile('C:\WINNT\system32\73.exe');
     DeleteFile('C:\WINNT\system32\82.exe');
     DeleteFile('C:\WINNT\system32\84.exe');
     DeleteFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузится.

    Перезагрузите сервер вручную

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    7
    Вес репутации
    48
    Новые логи.

  9. #8
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    7
    Вес репутации
    48
    карантин загрузил.

  10. #9
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    7
    Вес репутации
    48
    Вот такая байда выскакивает при попытке залогиниться в WinRoute

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Удалите это:
    C:\WINNT\system32\62.exe
    C:\WINNT\system32\77.exe

    Если в папке есть еще такие цифровые ехе-шники, их тоже удалите.
    Больше ничего плохого в логах не видно.

    Насчет WinRoute - непонятно, почему он так себя ведет, его никто не трогал.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    7
    Вес репутации
    48
    1. Файлы я удаляю каждый раз. Они постепенно появляются снова и снова. Не знаю с чем это связано.
    2. По поводу WinRoute. Значит скрипт AVZ тут не причем? Эта ошибка появилась как раз после перезагрузки компьютера... Я считал что это скрипт виноват... Есть идеи с чем может быть связан сей факт?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от spec4pz Посмотреть сообщение
    Файлы я удаляю каждый раз. Они постепенно появляются снова и снова. Не знаю с чем это связано.
    Зловред, который мы с Вами лечили, не что иное как сетевой червь. А проникает он через дыру в системе. Можно ли ее закрыть - большой вопрос, ведь Win2k уже не поддерживается, если не ошибаюсь. Поставьте все доступные обновления безопасности, если это не спасет - наверно придется подумать о переходе на что-то более современное.

    Цитата Сообщение от spec4pz Посмотреть сообщение
    По поводу WinRoute ... Есть идеи с чем может быть связан сей факт?
    К сожалению, нет.
    I am not young enough to know everything...

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    А также

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\winnt\\system32\\21.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      2. c:\\winnt\\system32\\22.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      3. c:\\winnt\\system32\\23.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      4. c:\\winnt\\system32\\61.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      5. c:\\winnt\\system32\\67.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      6. c:\\winnt\\system32\\73.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      7. c:\\winnt\\system32\\77.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      8. c:\\winnt\\system32\\82.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      9. c:\\winnt\\system32\\84.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )


  • Уважаемый(ая) spec4pz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. ggdrive32.exe
      От TeXHuK в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.05.2011, 15:03
    2. ggdrive32.exe
      От lehaz в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.04.2011, 00:05
    3. ggdrive32.exe
      От s1gMa в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.04.2011, 20:50
    4. ggdrive32.exe xdx.exe
      От Stern1818 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.02.2011, 23:21
    5. ggdrive32.exe
      От Liymara в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.02.2011, 16:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00288 seconds with 20 queries