Показано с 1 по 13 из 13.

Помогите ggdrive32.exe (заявка № 99195)

  1. #1
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    22

    Thumbs up Помогите ggdrive32.exe

    Надоел этот вирус, касперский не лечит, и еще xdx.exe на диске C.
    И наверное еще несколько вирусов..
    Вложения Вложения
    Последний раз редактировалось xlop; 11.03.2011 в 20:07.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Выполните скрипт в AVZ:
    Код:
    procedure WhatService(AServiceName : string);
    var
    dllname, servicekey : string;
    begin
    servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
    RegKeyResetSecurity( 'HKLM', servicekey);
    RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
    AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
    AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
    AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
    dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
    AddToLog('ServiceDll: '+dllname);
    QuarantineFile(dllname,'');
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\ggdrive32.exe');
     TerminateProcessByName('c:\documents and settings\admin\betd.exe');
     TerminateProcessByName('c:\documents and settings\admin\96.exe');
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
     QuarantineFile('c:\documents and settings\admin\betd.exe','');
     QuarantineFile('c:\documents and settings\admin\96.exe','');
     DeleteFile('c:\documents and settings\admin\96.exe');
     DeleteFile('c:\documents and settings\admin\betd.exe');
     DeleteFile('c:\windows\ggdrive32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
    WhatService('tosowgf');
    WhatService('xtmnth');
    WhatService('xwiccsapc');
    SaveLog(GetAVZDirectory+'whatsvc.log');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Из папки AVZ файл whatsvc.log приложите в теме.

    Повторите лог virusinfo_syscheck.zip и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    22
    все сделал.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Из папки AVZ файл whatsvc.log приложите в теме.

    Повторите лог virusinfo_syscheck.zip и приложите в теме.
    А это?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    22
    это я выложил, он видимо заменился вместо старого.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Надо было в новом сообщении прикрепить. Ну да ладно.
    Делайте в указанной последовательности:

    Обновите Internet Explorer до актуальной версии (даже если не используете).

    Выполните скрипт в AVZ отсюда:
    http://df.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.

    Пройдите по всем ссылкам (http://...) в avz_log.txt и установите указанные там обновления.
    Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\xdx.exe','');
     QuarantineFile('C:\WINDOWS\system32\53.exe','');
     QuarantineFile('C:\WINDOWS\system32\11.exe','');
     DeleteFile('C:\WINDOWS\system32\11.exe');
     DeleteFile('C:\WINDOWS\system32\53.exe');
     DeleteFile('C:\xdx.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    22
    Вроде все сделал, обновления установил, после перезагрузки еще раз выполнил скрипт , написал что уязвимостей нет.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\ggdrive32.exe');
     TerminateProcessByName('c:\documents and settings\admin\betd.exe');
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\ctpcmcia.dll','');
     QuarantineFile('C:\Program Files\winrar\rarext.dll','');
     DeleteFile('c:\documents and settings\admin\betd.exe');
     DeleteFile('c:\windows\ggdrive32.exe');
     DeleteFile('C:\Documents and Settings\Admin\betd.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     DeleteFile('C:\WINDOWS\system32\04.exe');
     DeleteFile('C:\WINDOWS\system32\07.exe');
     DeleteFile('C:\WINDOWS\system32\13.exe');
     DeleteFile('C:\WINDOWS\system32\26.exe');
     DeleteFile('C:\WINDOWS\system32\34.exe');
     DeleteFile('C:\WINDOWS\system32\35.exe');
     DeleteFile('C:\WINDOWS\system32\63.exe');
     DeleteFile('C:\WINDOWS\system32\64.exe');
     DeleteFile('C:\WINDOWS\system32\77.exe');
     DeleteFile('C:\xdx.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и приложите в теме.

    Сделайте лог MBAM:
    http://virusinfo.info/showthread.php?t=53070
    и приложите.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    22
    все сделал.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Удалите в MBAM:
    Код:
    Заражённые папки:
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\1Z7I9BZ9\xxudv[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\P20JI9BA\7[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\P20JI9BA\7[2].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QXO9GHBP\xxudv[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QXO9GHBP\xxudv[2].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X2TSO5L0\7[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X2TSO5L0\tdvunlrn[1].bmp (Extension.Mismatch) -> No action taken.
    c:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.
    После удаления отпишитесь - что с проблемой?

    Повторите для конроля лог virusinfo_syscheck.zip и приложите в теме.
    Последний раз редактировалось Nikkollo; 12.03.2011 в 02:43.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  12. #11
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    22
    Ну вроде нет процесса ggdrive32 и на диске c нет файла xdx.
    Вложения Вложения

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Чисто.
    I am not young enough to know everything...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 39
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\betd.exe - Trojan.Win32.FakeAv.bhes ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Fakealert.28761, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:FakeSysdef-ED [Trj] )
      2. c:\\documents and settings\\admin\\96.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )
      3. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Backdoor.Win32.Floder.e ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.KD.152836, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      4. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan.Win32.FakeAv.bheq ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Gen:Variant.Kazy.15167, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:FakeSysdef-ED [Trj] )
      5. c:\\windows\\ggdrive32.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
      6. c:\\windows\\system32\\11.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
      7. c:\\windows\\system32\\53.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
      8. c:\\xdx.exe - Backdoor.Win32.Floder.e ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.KD.152836, AVAST4: Win32:Downloader-NUE [Trj] )


  • Уважаемый(ая) xlop, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 11.03.2011, 19:42
    2. ggdrive32.exe, ms.exe - помогите убить этот вирус
      От Serior в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 07.03.2011, 11:25
    3. Помогите избавится от ggdrive32.exe
      От SoraZzz в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 02.03.2011, 19:34
    4. Помогите, пожалуйста, победить ggdrive32.exe
      От Sword в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 01.03.2011, 17:47
    5. Помогите с ggdrive32
      От MaxWay в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 04.02.2011, 16:26

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01362 seconds with 22 queries