-
Junior Member
- Вес репутации
- 49
Проблема с xdx.
Доброго времени суток, ув. специалисты по вирусам!
Проблема на ПК с установленной ОС WinXp SP3: не дает работать с Интернет xdx.exe. На вашем форуме находил сообщения на эту тему, но так как подход к лечению каждого ПК индивидуален, не стал экспериментировать и решил создать новую тему.
Последний раз редактировалось Bratez; 20.02.2011 в 03:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\ggdrive32.exe');
DeleteFile('C:\WINDOWS\Tasks\Error scan.job');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe,C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-6319866429-9040638791-317893763-5575\csisf.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\onevhp.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\37.exe','');
QuarantineFile('C:\WINDOWS\system32\74.exe','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\37.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\onevhp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\RECYCLER\S-1-5-21-6319866429-9040638791-317893763-5575\csisf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
Сообщение от
Yerdn
ув. специалисты по вирусам!
Мы скорее по борьбе с ними, если позволите.
-
-
Junior Member
- Вес репутации
- 49
Согласитесь, для того чтобы бороться с чем-либо для начала нужно быть специалистом в этом;-)
Лог Гмер через верхнюю ссылку тоже направить?
-
Нет, прямо сюда, как логи АВЗ.
-
-
Junior Member
- Вес репутации
- 49
Сегодня не получится у меня выслать вам лог Гмера. Мы же сможем завтра продолжить? Спасибо за помощь
-
Продолжим, когда Вам будет удобно.
-
-
Junior Member
- Вес репутации
- 49
-
1. Откройте Блокнот и скопируйте в него текст скрипта
Код:
cgwhlwc4.exe -del service bpxdbltb
cgwhlwc4.exe -del service hsplu
cgwhlwc4.exe -del file "C:\WINDOWS\system32\zgynj.dll"
cgwhlwc4.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bpxdbltb"
cgwhlwc4.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hsplu"
cgwhlwc4.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bpxdbltb"
cgwhlwc4.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hsplu"
cgwhlwc4.exe -reboot
2. Нажмите Файл - Сохранить как
3. Выберите ту папку, где находится cgwhlwc4.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
Новые логи AVZ и HIJack тоже предоставьте
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Логи программ
Bat файл при запуске выругался: не найден файл zgynj.dll и ключи реестра
-
Удалите в МВАМ
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A91601D-0B31-D2FC-0FA1-5CE0983AF2A2} (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1A91601D-0B31-D2FC-0FA1-5CE0983AF2A2} (Adware.AdRotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A91601D-0B31-D2FC-0FA1-5CE0983AF2A2} (Adware.AdRotator) -> No action taken.
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnawy (Worm.AutoRun.Gen) -> Value: Tnawy -> No action taken.
Заражённые папки:
c:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Agent) -> No action taken.
c:\RESTORE\k-1-3542-4232123213-7676767-8888886 (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\system volume information\_restore{9da6eeb8-491d-464c-b108-037d67668b39}\RP1\A0000006.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{9da6eeb8-491d-464c-b108-037d67668b39}\RP1\A0000007.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{9da6eeb8-491d-464c-b108-037d67668b39}\RP1\A0000008.exe (Trojan.Autorun) -> No action taken.
d:\Install\dfrejfsdf\quarantine\2011-02-19\avz00001.dta (Trojan.Autorun) -> No action taken.
d:\Install\dfrejfsdf\quarantine\2011-02-19\avz00002.dta (Trojan.Autorun) -> No action taken.
d:\Install\dfrejfsdf\quarantine\2011-02-19\avz00003.dta (Trojan.Autorun) -> No action taken.
c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Junior Member
- Вес репутации
- 49
Выходит на этом заканчивается лечение моего ПК?
Болльшое спасибо всем!
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Решена, спасибо! Но у меня сюдя по всему проблема была не только с xdx.exe...)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Trojan-DDoS.Win32.Agent.qp ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.379485, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Crypt-INP [Trj] )
- c:\\windows\\ggdrive32.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\windows\\system32\\37.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
- c:\\windows\\system32\\74.exe - Net-Worm.Win32.Kolab.tub ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
-