Вирус ghdrive32.exe

Я извеняюсь за повторение темы..... все с той же проблемой вот сделал логи как написано в ваших инструкциях.
Все начелось еще 1,5 месяца назад по началу когда появился этот вирус у него было название ggdrive32.exe он находитса в папке c\windows , скрытый. С помощю разных скриптов которые находил на сайтах какбы проличил компы + нод зашевелился и начал ловить эти файлы, вроде все нормально было, но тут на тебе опять появились и назавыание его уже ghdrive32.exe Эта гадость кокимто макаром с нета лезит причем сама, грузитса в автозагрузку и создает кучу разных файлов в паке с пользователем C:\Documents and Settings\user типа: new1.exe, hdcd.exe в корене диска C xdx.exe при удалении появляютса опять. некотырые машини тупят от него, а вообще он закрывает доступ к сетевому окружению, и иногда доступ к интернету. Помогите избавитса от него! Насколько я понял он будет постоянно ко мне прилазить, в чем причина( :( Помогите!

Моя проблема мне как головная боль у меня 25 компов и я когдато поборол это но оно у меня опять появилось, почему так? как мне избавитса, как оно ко мне опять прилазит..... Помогите пожалуста я буду очень благодарен, потомучто даже антивирусник неспасает он его видит раз через раз(

Восстановление системы: включено
Отключите.
Отключитесь от сети.
В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\program files\imsa\dilo\imsasrv.exe');
TerminateProcessByName('d:\program files\imsa\reservdb\rdbservice.exe');
TerminateProcessByName('d:\windows\ghdrive32.exe');
QuarantineFile('D:\Documents and Settings\fotchenko\hddd.exe','');
QuarantineFile('D:\Documents and Settings\fotchenko\hdcd.exe','');
QuarantineFile('D:\WINDOWS\system32\71.exe','');
QuarantineFile('D:\WINDOWS\system32\43.exe','');
QuarantineFile('D:\WINDOWS\system32\34.exe','');
QuarantineFile('D:\WINDOWS\system32\24.exe','');
QuarantineFile('D:\WINDOWS\system32\21.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
QuarantineFile('D:\WINDOWS\ghdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('d:\program files\imsa\reservdb\rdbservice.exe','');
QuarantineFile('d:\program files\imsa\dilo\imsasrv.exe','');
QuarantineFile('d:\windows\ghdrive32.exe','');
DeleteFile('d:\windows\ghdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('D:\WINDOWS\ghdrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('D:\WINDOWS\system32\21.exe');
DeleteFile('D:\WINDOWS\system32\24.exe');
DeleteFile('D:\WINDOWS\system32\34.exe');
DeleteFile('D:\WINDOWS\system32\43.exe');
DeleteFile('D:\WINDOWS\system32\71.exe');
DeleteFile('D:\Documents and Settings\fotchenko\hdcd.exe');
DeleteFile('D:\Documents and Settings\fotchenko\hddd.exe');
DeleteFileMask('c:\RECYCLER', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]


После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.

[QUOTE='миднайт;782057']Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.[/QUOTE]
карантин я загрузил, а как повторно логи выложить?

вот повторные логи

Вы можете мне посоветовать что мне делать с другими компами с такой же проблемой? Можно ли их всех почистить стандартным скриптом который подойдет к любому? Как мне уберечь сеть от повторных атак? Буду благодарен вам очень!

AskToolbar деинсталлируйте.
В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\08.exe','');
DeleteFile('D:\WINDOWS\system32\08.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]


Логи повторите.

[QUOTE='K0S;782084']Можно ли их всех почистить стандартным скриптом который подойдет к любому? [/QUOTE]
Для каждой машины сделайте новую тему. Их много?

20 компов( а от чего он появляетса можно очистить сеть? просто раньше когда он у меня был я лог нашел только тогда он назывался ggdrive32.exe спустя месяц он опять выскочил но уже ghdrive32.exe тоисть что то его тянет, антивирусник айпишники выдает мол эти файлы которые находятса в папке с пользователем стучатса в инет могу написать....

20? неплохо. Можно конечно кьюритом и мбамом пройтись, но я сомневаюсь, что они все вычистят.
К тому же я еще не знаю поведение данного зловреда, возможно машины придется изолировать и лечить по отдельности.
[B]c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe[/B] - [B][COLOR="Red"]Trojan.Win32.Pincav.befz[/COLOR][/B]
[B]C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe[/B] - новый зловред [B][COLOR="#ff0000"]Trojan.Win32.Menti.gery[/COLOR][/B]
[B]D:\Documents and Settings\fotchenko\hdcd.exe[/B] - [B][COLOR="#ff0000"]Trojan.Win32.Menti.gery[/COLOR][/B]
D:\Documents and Settings\fotchenko\hddd.exe - нет детекта.
d:\program files\imsa\dilo\imsasrv.exe - чистый.

[QUOTE='миднайт;782105']Можно конечно кьюритом и мбамом пройтись, но я сомневаюсь, что они все вычистят.[/QUOTE]
непомогает остаетса чтото всеравно, а почему антивирусники несправляютса с ним?

[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]

я буквально впервые столкнулся с скриптами, эти файлы которые сидят в мусорке они все одинакого имени или разного вы невкурсе? и я вижу там записи в скриптах, которые я так понимаю относятса к реестру что они делают) дайте ответ пожалуста если несикрет

[QUOTE='K0S;782121'] я вижу там записи в скриптах, которые я так понимаю относятса к реестру что они делают) [/QUOTE]
удаляют вредоносные записи в реестре:)

вот есче что.... на одном компютере у меня в сети есть папка розшаряная полностю, там в ней постоянно появляютса с непонятными названиями файлы с картинками типа: кофейная чашка; сфера; название у них просто набор английских букв.... нод их неопределяет как вирусы, я их заархивировал и принес домой так аваст увидив их написал:
Заражение: Autolt:Balero-C[Wrm] ...... я к чему веду что описание даного вируса имеет на мое мнение некую связь с описанием следующего Win32/Lethic.AA - это показывает нод32 при загрузке ОС и ломитса он на айпи 195.14.112.145/dq.exe

Как вы считаете? я почему это пишу, выличить можно компютеры но ненайдена причина по которой оно приходит с новым именем. Win32/Lethic.AA - инфо про этот вирус говорит что он вносит кокието измениние в Iexplorer.exe

Ваша проблема в необновленной системе

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="http://get.adobe.com/reader/otherversions/"]Acrobat Reader 10[/url] или удалите старый

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - [B]Trojan.Win32.Pincav.befz[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.318895, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-GNH [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - [B]Trojan.Win32.Menti.gery[/B] ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )[*] d:\\documents and settings\\fotchenko\\hdcd.exe - [B]Trojan.Win32.Menti.gery[/B] ( DrWEB: Trojan.Inject.38462, BitDefender: Trojan.Generic.KD.183259, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]