ggdrive32.exe

Printable View

04.02.2011, 09:02
Liymara

ggdrive32.exe

Изначально в диспетчере задач висела эта гадость ggdrive32.exe.(лежал в корневой папке Windows)
Симптомы:
1.Повисал интернет,зависала локальная сеть(интернет работает через локалку - особенности провацдера) примерно через 5 минут после подключения к интернету.
2.Фаерволл(agnitum outpost) постоянно фиксировал попытки этого файла попасть в сеть на левые ИП адреса.
3.По какой то причине при подключенном интернете загрузка ЦП стала подниматься до 100% что вызывало подвисания системы.
4.В папке system32 появлялись числовые exe файлы(типа 10.ехе,85.ехе)
Что было сделано:
1. Переустановлена система(с форматированием системного раздела) - но вирус все равно вновь появился.
2. Был вручную выловлен и убит файл ggdrive32.exe - вместо него был создан пустой текстовый файл с таким же именем. (файл перестал светиться в диспетчере задач - но симптомы тем не менее сохраняются)
3. Из папки system32 были убиты все числовые ехе файлы
Что происходит сейчас:
1. Explorer.exe пытается попасть на те же адреса на которые ранее пытался попасть ggdrive32.exe
2. Процессы озаглавленные в фаерволле как N\A и System тоже пытаются пробится на эти IP адреса.
04.02.2011, 09:17
polword

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
04.02.2011, 15:34
Liymara

Обновил.
Скрипт пишет часто используемых уязвимостей не обнаружено.
Лог прикрепил.
05.02.2011, 05:25
polword

1.[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Spyware.Passwords.XGen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.

Заражённые файлы:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\s-1-5-21-448539723-1708537768-1417001333-500\Dc23.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\ggdrive32.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\75.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\77.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\80.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\27.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\05.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\00.exe (Spyware.Passwords.XGen) -> No action taken.
e:\WINDOWS\system32\76.exe (Spyware.Passwords.XGen) -> No action taken.
e:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\II0153FH\udv[1].exe (Spyware.Passwords.XGen) -> No action taken.
e:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\924K1ILL\z96[1].exe (Spyware.Passwords.XGen) -> No action taken.
e:\documents and settings\администратор\mss.exe (Spyware.Passwords.XGen) -> No action taken.
e:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\VKLOG09K\ms[1].exe (Spyware.Passwords.XGen) -> No action taken.
e:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\VKLOG09K\udv[1].exe (Spyware.Passwords.XGen) -> No action taken.

[/CODE]

2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('e:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
DeleteFileMask('e:\documents and settings\администратор\local settings\temporary internet files\Content.IE5', '*.*', true);
QuarantineFile('c:\моя папка\Игры\игрушки\Бегалки\алекс гордон.exe','');
QuarantineFile('d:\uploads ^_^\Игры-2\игрушки\Шарики\город самоцветов.exe','');
QuarantineFile('d:\uploads ^_^\Игры-2\игрушки\Бегалки\Непоседа.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
05.02.2011, 10:28
Liymara

По иронии судьбы дубли папок с играми были вчера удалены. Остально сделаю.

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 25 минут[/I][/B][/color][/size]

Логи MBAM и virusinfo_syscheck прикрепил. Файл карантин весит 1кб - внутри архива пусто. Потому что папки d:\uploads ^_^\Игры-2\ и c:\моя папка\Игры\ были удалены для освобождения свободного места.
06.02.2011, 16:20
thyrex

[QUOTE='Liymara;764114']Логи MBAM и virusinfo_syscheck прикрепил.[/QUOTE]Что-то нового не видно ничего