Вирусы Jjdrive,ccdrive и тд.

Printable View

Показывать 40 сообщений этой темы на одной странице

14.01.2010, 13:32
dazman

Вложений: 3

Вирусы Jjdrive,ccdrive и тд.

Здравствуйте, появились проблемы с вирусами jjdrive.exe , ccdrive.exe, avd32 , wshost32.exe
14.01.2010, 14:26
Nikkollo

Здравствуйте.
[B]Обновите базы AVZ![/B]
Если базы не обновляются через меню Файл, скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\jjdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\WINDOWS\system32\avd32.exe','');
QuarantineFile('C:\WINDOWS\ccdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9635576317-5253890368-048902125-0276\msdrive.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1204025415-9311100457-973279632-6934\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9605583331-0297411023-241560330-5158\sysdrv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\RECYCLER\S-1-5-21-9635576317-5253890368-048902125-0276\msdrive.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1204025415-9311100457-973279632-6934\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9605583331-0297411023-241560330-5158\sysdrv.exe');
DeleteFile('C:\WINDOWS\ccdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
DeleteFile('C:\WINDOWS\system32\avd32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','avd32');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
BC_ImportAll;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите их в теме.
14.01.2010, 15:58
dazman

непомогло :( и появляются ещё процессы в виде цифр "84,95" и тд"
14.01.2010, 19:15
dazman

в ожидании ответа попробовал ещё раз выполнить скрит,вроде бы помогло,большое вам спасибо )

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

процессы в виде цифр всеравно остались..

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

jjdrive32.exe вернулся (
14.01.2010, 19:21
Nikkollo

Повторите еще раз лог virusinfo_syscheck.zip и приложите в теме.
14.01.2010, 19:50
dazman

Лог
уже вернулись все вирусы
Ещё 1 лог
14.01.2010, 20:58
DefesT

Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, выполните скрипт в [U]AVZ[/U]:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wshost32.exe');
TerminateProcessByName('c:\windows\jjdrive32.exe');
TerminateProcessByName('c:\windows\ccdrive32.exe');
TerminateProcessByName('c:\windows\system32\10.exe');
DeleteFile('c:\windows\system32\10.exe');
DeleteFile('c:\windows\ccdrive32.exe');
DeleteFile('c:\windows\jjdrive32.exe');
DeleteFile('c:\windows\system32\wshost32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3122271822-7979364120-322352722-4515\sysdrv.exe');
DeleteFile('C:\WINDOWS\ccdrive32.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\avd32.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3442762996-7265763144-201968091-3371\msdrive.exe,C:\RECYCLER\S-1-5-21-3122271822-7979364120-322352722-4515\sysdrv.exe,C:\RECYCLER\S-1-5-21-0584347128-6462121816-285696765-1161\wmfcgr.exe,C:\RECYCLER\S-1-5-21-2595998757-4193941084-771997739-8000\wmfcgr.exe,C:\RECYCLER\S-1-5-21-7608600313-8568875982-188596387-3568\sysdrv.exe,C:\RECYCLER\S-1-5-21-2853659293-4738575714-943977240-4098\sysdrv.exe,C:\RECYCLER\S-1-5-21-6815632268-1221044498-724098864-5791\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0536025722-9186607160-630029378-8139\msdrive.exe,Explorer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','avd32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Скачайте AVPTool и сделайте проверку диска C
После этого сделайте новые логи по правилам.
14.01.2010, 22:36
dazman

удалил ранее стоявший нод,поставил касперский,увидел что svchost.exe пытается каждую минуту загружать файлы с сайта zonetech.info и каждую минуту касперский удаляет вирус

Логи
15.01.2010, 00:11
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в [U]Hijackthis[/U]:[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, выполните скрипт в [U]AVZ[/U]:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9800940198-0381272914-139437053-6683\sysdrv.exe,C:\RECYCLER\S-1-5-21-4985430620-5145501968-131354459-2780\wmfcgr.exe,explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4985430620-5145501968-131354459-2780\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4985430620-5145501968-131354459-2780\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9800940198-0381272914-139437053-6683\sysdrv.exe,C:\RECYCLER\S-1-5-21-4985430620-5145501968-131354459-2780\wmfcgr.exe,explorer.exe');
DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новый лог [B]virusinfo_syscheck.zip[/B]
15.01.2010, 01:21
dazman

непомогло :(

Лог
15.01.2010, 01:46
миднайт

Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]
15.01.2010, 02:18
dazman

Лог MBAB
15.01.2010, 02:26
миднайт

Удалите в МБАМ:

[CODE]Заражено папок:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.[/CODE]

Как самочувствие?
15.01.2010, 02:35
dazman

через минут 20 напишу,чтобы узнать точно,загляните пожалуйсто в ету тему через минуток 20.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

непомогло :(((
15.01.2010, 09:17
DefesT

Антивирус опять что-то обнаруживает?
Обновите базы Касперского, отключите интернет и сделайте полную проверку дисков
Обновите Internet Explorer до 8 версии! Очистите временные папки используемого Вами браузера. Отпишитесь.
15.01.2010, 10:06
Nikkollo

+ к DefesT
Выполните скрипт в AVZ отсюда:
[url]http://df.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Клиентами P2P пользуетесь?
15.01.2010, 14:31
dazman

Вложений: 2

Да опять Свхост пытается загрузить файлы с Зонтеч.инфо
клиенты P2P - нахожусь в сети
+ лог проверки касперским
15.01.2010, 15:00
dazman

ещё выскачила ошибка 1 раз Generetic host process for win32 services
и при попытке загрузить чтото с сайта Свхостом касперский пишет Запрещено и в графе Программа пишет Generic host process for win32 services (в каждой попытке)
15.01.2010, 15:07
dazman

Вложений: 1

Вот лог Generetic Host Process
15.01.2010, 16:45
dazman

P2P непользуюсь

Показывать 40 сообщений этой темы на одной странице