gwdrive32 беспокоит

Printable View

05.01.2011, 11:51
jeoletty

gwdrive32 беспокоит

Пытался избавится различными способами(разные антивирусы, утилиты), но безуспешно. Поэтому прошу вас о помощи. Данный вирус спокойно удаляется любым антивирусом при отключении ПК от интернета\сети. Но стоит только подключится к интернету, как сразу этот процесс(gwdrive32.exe) появляется в списке процессов и периодически создается множество цифровых ехе-ов(например, 4334.exe, 4444.exe и т.д.). При активном соединении с интернетом\сетью вирус удалить невозможно ни из системы, ни из процессов(если удалить - появляется снова). Периодически появляются и выявляются антивирусом подобные вирусы: oekx, msvmiode, lsdelete, ltzqai, cfdrive32, cwdrive32, wuaucldt, psysnew, rundll32(возможно перечислил не все.). При долгой работе компьютера и последующей проверке антивирусом, антивирус обнаруживает более сотни цифровых ехе-файлов! Вложения, согласно правилам, прикрепил.
05.01.2011, 12:08
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\oekx.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\oekx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-4338694261-3417564002-990251978-5598\csisf.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4338694261-3417564002-990251978-5598\csisf.exe');
WhatService('bvpebbeoq');
WhatService('mwmlucztf');
WhatService('pvcyw');
WhatService('wisdqw');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
SaveLog(GetAVZDirectory+'wisdqw.log');
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- файл [COLOR="Blue"][B]wisdqw.log[/B][/COLOR] прикрепите к сообщению
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
05.01.2011, 14:15
jeoletty

Вложений: 1

Выполнил
05.01.2011, 14:26
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('c:\documents and settings\Admin\application data\oekx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\bvpebbeoq\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\mwmlucztf\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\pvcyw\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wisdqw\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\dkxgwch.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_DeleteSvcReg('bvpebbeoq');
BC_DeleteSvcReg('mwmlucztf');
BC_DeleteSvcReg('pvcyw');
BC_DeleteSvcReg('wisdqw');
BC_DeleteFile('C:\WINDOWS\system32\dkxgwch.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
05.01.2011, 17:57
jeoletty

Вложений: 2

Выкладываю
05.01.2011, 18:54
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
05.01.2011, 19:33
jeoletty

Выкладываю лог ComboFix... вирус по прежнему висит в процессах при подключении к интернету, антивирус ругается намного меньше, однако периодически при новом подключении к интернету ловит по 1-2 ехе-файла. Сейчас пойманы следущие:
1. В файле 'C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\XXM4DFMS\lmq[1].exe'
был обнаружен вирус или вредоносная программа 'TR/Dldr.Murlo.jed' [trojan].
2. В файле 'C:\Documents and Settings\Admin\Local Settings\temp\649.exe'
был обнаружен вирус или вредоносная программа 'TR/Dldr.Murlo.jed' [trojan].
05.01.2011, 21:23
thyrex

1. c:\windows\System32\wuauclt.exe восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

2. Выполните скрипт в AVZ
[code]begin
RegKeyParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost', 'DcomLaunch', 'REG_MULTI_SZ', 'DcomLaunch'#0'TermService');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

3. Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::

File::

Driver::
btevawpzw
wisdqw
pvcyw
mwmlucztf
bvpebbeoq

NetSvc::
btevawpzw
wisdqw
pvcyw
mwmlucztf
bvpebbeoq

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4476:TCP"=-

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

4. Систему нужно срочно обновлять
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows

5. Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
05.01.2011, 23:42
jeoletty

Выполнил
06.01.2011, 00:05
polword

выполните предписания из [URL="http://virusinfo.info/showpost.php?p=751812&postcount=8"]этого [/URL]сообщения строго по пунктам, начиная с пункта №3 (не забыв перед логом MBAM - сделать обновления системы)
06.01.2011, 15:35
jeoletty

Выполнил, система обновлена. Выкладываю логи.
06.01.2011, 15:43
jeoletty

Как я понимаю, теперь вся проблема решена? Или необходимо еще что-то сделать?
06.01.2011, 15:43
polword

- выполните такой скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\regedit.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

что с проблемами?
06.01.2011, 16:45
jeoletty

Вложений: 1

[QUOTE=polword;752070]- выполните такой скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\regedit.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

что с проблемами?[/QUOTE]

Пишет, что такой файл уже загружен.. Выкладываю во вложения.
Проблема вроде устранена, антивирус не фиксирует вирусной активности, в процессах вирус не появляется. Спасибо за помощь.
06.01.2011, 18:24
polword

- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
06.01.2011, 19:50
jeoletty

Выполнил :) Будут ли еще указания?
06.01.2011, 19:56
thyrex

Ничего больше не нужно. На выписку
07.01.2011, 19:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\oekx.exe - [B]Trojan.Win32.Pincav.auwi[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.100884, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]