Все тот же вирус gwdrive32.exe

Printable View

07.01.2011, 10:01
ZAR78

Все тот же вирус gwdrive32.exe

Все сделал по пунткам правил.

Вот вложенные файлы.
07.01.2011, 10:48
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\76.exe','');
QuarantineFile('C:\WINDOWS\system32\70.exe','');
QuarantineFile('C:\WINDOWS\system32\58.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,C:\RECYCLER\S-1-5-21-0421702665-1443442201-700230473-9056\csisf.exe,C:\Documents and Settings\ZaR\Application Data\oekx.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6762533671-5127921370-192764225-8904\cwuoc.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\ZaR\Мои документы\trayinfo.exe','');
QuarantineFile('C:\Documents and Settings\ZaR\Application Data\oekx.exe','');
DeleteFile('C:\Documents and Settings\ZaR\Application Data\oekx.exe');
DeleteFile('C:\Documents and Settings\ZaR\Мои документы\trayinfo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6762533671-5127921370-192764225-8904\cwuoc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Taskman');
DeleteFile('C:\RECYCLER\S-1-5-21-0421702665-1443442201-700230473-9056\csisf.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\58.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
такой [url]http://virusinfo.info/showthread.php?t=53070[/url] лог сделайте
07.01.2011, 12:04
ZAR78

Все выполнил

Программой MAM нашел 25 зараженных файла
07.01.2011, 12:28
thyrex

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="http://get.adobe.com/reader/otherversions/"]Acrobat Reader 9.4[/url] или удалите старый

Новые логи AVZ и HiJack сделайте

Что с проблемой?
07.01.2011, 12:47
ZAR78

Вроде бы вирус убит

Вот последние логи

Большое спасибо!
07.01.2011, 13:05
thyrex

Систему почему не обновили? Если это не сделать, червь снова приползет

Выполните скрипт в AVZ
[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip
08.01.2011, 07:42
ZAR78

Наконецто обновил виндоус

Так как интернет у нас медленный пришлось долго качать

логи после обновления
08.01.2011, 08:35
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\serivces.exe','');
DeleteService('PlugPlayCM');
DeleteFile('C:\WINDOWS\system32\serivces.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];[COLOR="Blue"] hijackthis.log[/COLOR]
08.01.2011, 13:31
ZAR78

При запуске скрипта в AVZ, в конце выдает ошибку

Access violation at address 7C90D254 in module "ntdll.dll". Write of address 0000002C
08.01.2011, 13:54
snifer67

- Сделайте повторный лог virusinfo_syscheck.zip; hijackthis.log
09.01.2011, 13:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]