ghdrive32.exe

Printable View

24.04.2011, 17:47
2brovin

ghdrive32.exe

Пожалуйста помогите, при подключении к интернету, загружаются вирусы...
24.04.2011, 18:58
Acidorum

Здравствуйте.
Отключите:
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\ghdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\52.exe','');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\ghdrive32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
Сделайте [URL="http://virusinfo.info/showthread.php?t=53070"]лог MBAM[/URL].
24.04.2011, 22:26
2brovin

Доброго времени суток. Огромное спасибо за то, что откликнулись на мою "проблему", сделал все так, как описали, "quarantine.zip" выслал, новые логи внизу. Жду следующих указаний, за ранее благодарен вам!
24.04.2011, 22:51
Acidorum

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL]:
[CODE]Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Worm.AutoRun.Gen) -> Value: Tnaww -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Backdoor.Bot) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe) Good: () -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.

Заражённые папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Заражённые файлы:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\A14K00OV\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\XS8HSLX0\new2[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\WINDOWS\system32\75.exe (Worm.Palevo.XGen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
[/CODE]
Сделайте повторный лог MBAM.
25.04.2011, 08:00
2brovin

Вложений: 1

Здравствуйте, удалил вышеупомянутый код в MBAM. Вот повторный лог.
25.04.2011, 11:38
Acidorum

Чисто.
25.04.2011, 14:13
2brovin

Огромное спасибо [URL="javascript:insertNick('hedgars', '785453');"][B][SIZE=3][COLOR=brown]hedgars[/COLOR][/SIZE][/B][/URL], весьма признателен Вам, за вашу помощь!:beer:
25.04.2011, 19:31
2brovin

Вложений: 1

Новые сообщения о зловреде!!!

Несколько минут назад выскочило сообщение от антивируса о блокировке новых вирусов типа "new1[1].exe", сразу сделал новые логи, после того, как логи уже были сделаны антивирь блокирнул еще пару вирусов из директории "Documents and Settings...",и "system32..."
Посмотрите пожалуйста.
25.04.2011, 22:29
thyrex

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Делайте лог МВАМ
26.04.2011, 15:22
2brovin

Уважаемый [SIZE=3][COLOR=blue][B]thyrex[/B][/COLOR][/SIZE], я установил IE8 и все новые обновления для windows. Вот новый лог MBAM после обновления.
26.04.2011, 22:46
Acidorum

Удалите в MBAM:
[CODE]
Заражённые файлы:
c:\windows\system32\41.exe (Trojan.FakeAlert) -> No action taken.[/CODE]
Сделайте повторный лог MBAM.
28.04.2011, 21:59
2brovin

hedgars, огромное спасибо, пару дней назад удалил код: c:\windows\system32\41.exe (Trojan.FakeAlert) -> No action taken. ПК весьма одекватен.
29.04.2011, 21:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\ghdrive32.exe - [B]Net-Worm.Win32.Kolab.zph[/B] ( DrWEB: Trojan.AVKill.4042, BitDefender: Trojan.Generic.KD.201138, AVAST4: Win32:Inject-AGC [Trj] )[*] c:\\windows\\system32\\52.exe - [B]Net-Worm.Win32.Kolab.zph[/B] ( DrWEB: Trojan.AVKill.4042, BitDefender: Trojan.Generic.KD.201138, AVAST4: Win32:Inject-AGC [Trj] )[/LIST][/LIST]