Процесс ggdrive32.exe

Printable View

15.02.2011, 02:10
DmitriyK90

Процесс ggdrive32.exe

Блокирует выход в интернет,вроде все его корни удаляю в реестре и на диске,но с каждой перезагрузкой появляется заново.

[ATTACH]299309[/ATTACH]
[ATTACH]299310[/ATTACH]
[ATTACH]299311[/ATTACH]
15.02.2011, 02:46
миднайт

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ggdrive32.exe');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('c:\windows\ggdrive32.exe','');
DeleteFile('c:\windows\ggdrive32.exe');
BC_DeleteFile('c:\windows\ggdrive32.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
BC_DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.
15.02.2011, 03:19
DmitriyK90

[ATTACH]299313[/ATTACH]

[ATTACH]299314[/ATTACH]

[ATTACH]299315[/ATTACH]
15.02.2011, 03:26
миднайт

Чисто.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
15.02.2011, 18:02
DmitriyK90

Около часа назад процесс опять появился.

[ATTACH]299448[/ATTACH]

[ATTACH]299449[/ATTACH]

[ATTACH]299450[/ATTACH]
15.02.2011, 21:53
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ggdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\02.exe','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Temporary Internet Files\Content.IE5\UH6JWVUX\udv[1].exe
','');
DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Set-tings\Temporary Internet Files\Content.IE5\UH6JWVUX\udv[1].exe
');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
16.02.2011, 03:13
DmitriyK90

[ATTACH]299506[/ATTACH]

[ATTACH]299507[/ATTACH]

[ATTACH]299508[/ATTACH]

лог полного сканирования МВАМ
[ATTACH]299509[/ATTACH]

Все было сделано при отключении интернета,но как только включил,чтобы зайти сюда и отправить логи,Nod32 сразу блокирует атаки:
16.02.2011 3:00:28 Real-time file system protection file
C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:28 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to run the file by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:28 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to run the file by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:25 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\dq.exe a variant of Win32/Injector.EOG trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:25 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\Local Settings\Temporary Internet Files\Content.IE5\GGTLP4E1\serv8[1].exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:21 HTTP filter file one.natnatraoi.com/serv8.exe Win32/TrojanProxy.Ranky trojan connection terminated - quarantined 08AE6569528448A\Дмитрий
16.02.2011 3:00:21 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\Local Settings\Temporary Internet Files\Content.IE5\GGTLP4E1\dq[1].exe a variant of Win32/Injector.EOG trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:18 HTTP filter file one.natnatraoi.com/dq.exe a variant of Win32/Injector.EOG trojan connection terminated - quarantined 08AE6569528448A\Дмитрий
16.02.2011 3:00:05 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\ms.exe IRC/SdBot trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 3:00:05 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\Local Settings\Temporary Internet Files\Content.IE5\YH0AB34N\ms[1].exe IRC/SdBot trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
16.02.2011 2:59:57 HTTP filter file two.natnatraoi.com/ms.exe IRC/SdBot trojan connection terminated - quarantined 08AE6569528448A\Дмитрий

И если я все понял,то в логах данная информация будет отсутствовать..
16.02.2011, 10:48
миднайт

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите Антивирус и Файрвол.
- Отключитесь от сети.

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\4FIX85GR\q96[1].exe','');
QuarantineFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\GXID6PSD\m96[1].exe','');
QuarantineFile('c:\WINDOWS\system32\vfp8rrus.dll','');
QuarantineFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe','');
QuarantineFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\dq.exe ','');
QuarantineFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\ms.exe','');
QuarantineFile('d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121663.exe ','');
DeleteFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\4FIX85GR\q96[1].exe');
DeleteFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\GXID6PSD\m96[1].exe');
DeleteFile('d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121663.exe ');
QuarantineFile('C:\WINDOWS\system32\13.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\dq.exe ');
DeleteFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\ms.exe');
DeleteFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe');
BC_DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFileMask('c:\RECYCLER\', '*.*', true);
DeleteFileMask('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5', '*.*', true);
QuarantineFileF('%system32%', '??.exe', false,'', 0, 0, '1.02.2011', '16.02.2011');
QuarantineFileF('C:\Documents and Settings\Дмитрий.08AE6569528448A\', '*.exe', false,'', 0, 0, '1.02.2011', '16.02.2011');
BC_ImportAll;
ExecuteSysClean;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.

В MBAM удалите (некоторых строк может не быть)

[CODE]Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.AutoRun.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.

Заражённые папки:
c:\program files\microsoft common (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Заражённые файлы:
c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\4FIX85GR\q96[1].exe (Worm.Palevo) -> No action taken.
c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\GXID6PSD\m96[1].exe (Trojan.Autorun) -> No action taken.
d:\avz4\avz4\quarantine\2011-02-15\avz00001.dta (Trojan.Autorun) -> No action taken.
d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121663.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121670.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0122040.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128180.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128186.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128210.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128211.exe (Malware.Packer.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.[/CODE]

Подключите сеть. Логи повторите.
16.02.2011, 11:45
thyrex

А также

Internet Explorer так и не обновили
А обновления после SP3 тоже вряд ли поставили?
17.02.2011, 00:14
DmitriyK90

[ATTACH]299629[/ATTACH]

[ATTACH]299630[/ATTACH]

[ATTACH]299631[/ATTACH]

Поставил и обновления после sp3 и обновил IE
17.02.2011, 00:21
thyrex

Плохого не видно. Проблема решена?
17.02.2011, 01:23
DmitriyK90

Да,огромное спасибо!
18.02.2011, 01:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]55[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\networkservice.nt authority.000\\local settings\\temporary internet files\\content.ie5\\4fix85gr\\q96[1].exe - [B]Trojan.Win32.Inject.bamn[/B] ( DrWEB: Trojan.Packed.21428, BitDefender: Trojan.Generic.5737711, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - [B]Trojan.Win32.Inject.baow[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5533377, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Crypt-INP [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - [B]Worm.Win32.Bybz.dzw[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.132358, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\windows\\ggdrive32.exe - [B]Net-Worm.Win32.Kolab.tvv[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\windows\\ggdrive32.exe - [B]Trojan.Win32.Inject.bamn[/B] ( DrWEB: Trojan.Packed.21428, BitDefender: Trojan.Generic.5737711, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\27.exe - [B]Net-Worm.Win32.Kolab.tvv[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\windows\\system32\\57.exe - [B]Net-Worm.Win32.Kolab.tvv[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\windows\\system32\\70.exe - [B]Net-Worm.Win32.Kolab.tvv[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\xdx.exe - [B]Trojan.Win32.Inject.baow[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5533377, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Crypt-INP [Trj] )[/LIST][/LIST]