Вирус gwdrive32 одалел

Printable View

04.01.2011, 18:50
Vip-anton

Вирус gwdrive32 одалел

Здравствуйте! Помогите пожалуйста не могу избавится от вируса gwdrive32. заранее очень благодарен!
04.01.2011, 19:34
thyrex

Выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL]
04.01.2011, 20:26
Vip-anton

Вот логи
04.01.2011, 21:00
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\mob11[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\f4444[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\FI1FW3KQ\m1863[1].exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\FI1FW3KQ\m1863[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\f4444[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\mob11[1].exe');
QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\80.exe','');
QuarantineFile('C:\WINDOWS\system32\76.exe','');
QuarantineFile('C:\WINDOWS\system32\73.exe','');
QuarantineFile('C:\WINDOWS\system32\70.exe','');
QuarantineFile('C:\WINDOWS\system32\67.scr','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\58.exe','');
QuarantineFile('C:\WINDOWS\system32\55.exe','');
QuarantineFile('C:\WINDOWS\system32\53.exe','');
QuarantineFile('C:\WINDOWS\system32\48.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\WINDOWS\system32\23.exe','');
QuarantineFile('C:\WINDOWS\system32\20.exe','');
QuarantineFile('C:\WINDOWS\system32\17.exe','');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('C:\WINDOWS\system32\13.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\XDva372.sys','');
DeleteService('XDva372');
QuarantineFile('c:\windows\gwdrive32.exe','');
TerminateProcessByName('c:\windows\gwdrive32.exe');
DeleteFile('c:\windows\gwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\XDva372.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\58.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\67.scr');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-3823322541-8147737992-468946901-1850\csisf.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3823322541-8147737992-468946901-1850\csisf.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0688559209-9811160492-716760633-0834\csisf.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0688559209-9811160492-716760633-0834\csisf.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-1448121589-3679239404-146999796-5789\csisf.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1448121589-3679239404-146999796-5789\csisf.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-8662357795-1048158749-435042300-5940\csisf.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8662357795-1048158749-435042300-5940\csisf.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-4501701730-8648501324-233412361-1875\csisf.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4501701730-8648501324-233412361-1875\csisf.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-7834464626-9147740246-583675223-2205\csisf.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7834464626-9147740246-583675223-2205\csisf.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
05.01.2011, 02:28
Vip-anton

вот результаты проверки
05.01.2011, 09:28
polword

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Заражённые файлы:
c:\documents and settings\администратор\application data\ltzqai.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-3823322541-8147737992-468946901-1850\csisf.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\15.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\35.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\66.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\83.exe (Trojan.Agent) -> No action taken.

[/CODE]
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].

После обновления:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
06.01.2011, 17:46
Vip-anton

вот лог
06.01.2011, 18:07
polword

В логе чисто.Что с проблемой?
06.01.2011, 20:33
Vip-anton

Все замечательно! Безумно благодарен вам! Спасибо огромное!!!!
07.01.2011, 15:08
Vip-anton

Похоже червь опять вернулся!
07.01.2011, 15:23
Никита Соловьев

Раз создали новую тему, продолжим в ней
08.01.2011, 15:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]97[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\application data\\ltzqai.exe - [B]Trojan.Win32.Pincav.autp[/B] ( DrWEB: Trojan.Packed.21319, BitDefender: Trojan.Generic.KD.99923, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Dropper-ETN [Drp] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1417\\systm.exe - [B]Trojan.Win32.Scar.diyy[/B] ( DrWEB: Trojan.Packed.21319, BitDefender: Trojan.Generic.KD.99923, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Dropper-ETN [Drp] )[*] c:\\recycler\\s-1-5-21-0688559209-9811160492-716760633-0834\\csisf.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-1448121589-3679239404-146999796-5789\\csisf.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-3823322541-8147737992-468946901-1850\\csisf.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-8662357795-1048158749-435042300-5940\\csisf.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\gwdrive32.exe - [B]Net-Worm.Win32.Kolab.qpi[/B] ( DrWEB: Trojan.Packed.21319, BitDefender: Trojan.Generic.KD.99923, NOD32: IRC/SdBot trojan, AVAST4: Win32:Dropper-ETN [Drp] )[*] c:\\windows\\system32\\13.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\14.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\17.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\20.exe - [B]P2P-Worm.Win32.Palevo.bkrg[/B] ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\23.exe - [B]P2P-Worm.Win32.Palevo.bkrg[/B] ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\26.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\33.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\42.exe - [B]P2P-Worm.Win32.Palevo.bknb[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\48.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\53.exe - [B]P2P-Worm.Win32.Palevo.bkrg[/B] ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\55.exe - [B]P2P-Worm.Win32.Palevo.bkrg[/B] ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\58.exe - [B]P2P-Worm.Win32.Palevo.bkrg[/B] ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\64.exe - [B]P2P-Worm.Win32.Palevo.bknb[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\67.scr - [B]Net-Worm.Win32.Kolab.qmj[/B] ( BitDefender: Trojan.Generic.5571022, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\70.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\73.exe - [B]P2P-Worm.Win32.Palevo.bknb[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\76.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\80.exe - [B]P2P-Worm.Win32.Palevo.bknb[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\86.exe - [B]P2P-Worm.Win32.Palevo.bkyl[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]