ggdrive32.exe

Printable View

15.02.2011, 09:42
spec4pz

ggdrive32.exe

Постоянно висит в диспетчере задач. А также постоянно появляются файлы 45.exe, 43.scr и т.д. С компьютера постоянно идут сетевые атаки
Intrusion.Win.NETAPI.buffer-overflow.exploit...
15.02.2011, 09:51
Bratez

Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\ggdrive32.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe','');
DeleteFile('C:\WINNT\system32\16.exe');
DeleteFile('C:\WINNT\system32\36.exe');
DeleteFile('C:\WINNT\system32\45.exe');
DeleteFile('C:\WINNT\system32\65.exe');
DeleteFile('C:\WINNT\system32\71.exe');
DeleteFile('C:\WINNT\system32\85.exe');
DeleteFile('C:\WINNT\ggdrive32.exe');
DeleteFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
BC_ImportAll;
ExecuteSysClean;
BC_ServiceKill('kixesm');
BC_Activate;
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
ExecuteWizard('TSW',2,3,true);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=98169[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
15.02.2011, 11:40
spec4pz

Выполнил скрипт в АВЗ. Слетел Winroute =( Как его поднять?

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

А еще когда выбираю Просмотр файлов на карантине, там пусто...
15.02.2011, 12:56
Bratez

Делайте новые логи, будем смотреть дальше.
15.02.2011, 13:04
spec4pz

Вложений: 1

Вот логи
15.02.2011, 13:47
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635853}');
QuarantineFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe','');
QuarantineFile('C:\WINNT\system32\21.exe','');
QuarantineFile('C:\WINNT\system32\22.exe','');
QuarantineFile('C:\WINNT\system32\23.exe','');
QuarantineFile('C:\WINNT\system32\61.exe','');
QuarantineFile('C:\WINNT\system32\67.exe','');
QuarantineFile('C:\WINNT\system32\73.exe','');
QuarantineFile('C:\WINNT\system32\77.exe','');
QuarantineFile('C:\WINNT\system32\82.exe','');
QuarantineFile('C:\WINNT\system32\84.exe','');
DeleteFile('C:\WINNT\system32\21.exe');
DeleteFile('C:\WINNT\system32\22.exe');
DeleteFile('C:\WINNT\system32\23.exe');
DeleteFile('C:\WINNT\system32\61.exe');
DeleteFile('C:\WINNT\system32\67.exe');
DeleteFile('C:\WINNT\system32\73.exe');
DeleteFile('C:\WINNT\system32\82.exe');
DeleteFile('C:\WINNT\system32\84.exe');
DeleteFile('C:\RECYCLER\S-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end. [/code]Компьютер перезагрузится.

Перезагрузите сервер вручную

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
15.02.2011, 14:17
spec4pz

Новые логи.
15.02.2011, 14:18
spec4pz

карантин загрузил.
15.02.2011, 16:13
spec4pz

Вот такая байда выскакивает при попытке залогиниться в WinRoute
15.02.2011, 16:38
Bratez

Удалите это:
[B]C:\WINNT\system32\62.exe
C:\WINNT\system32\77.exe[/B]
Если в папке есть еще такие цифровые ехе-шники, их тоже удалите.
Больше ничего плохого в логах не видно.

Насчет WinRoute - непонятно, почему он так себя ведет, его никто не трогал.
15.02.2011, 16:47
spec4pz

1. Файлы я удаляю каждый раз. Они постепенно появляются снова и снова. Не знаю с чем это связано.
2. По поводу WinRoute. Значит скрипт AVZ тут не причем? Эта ошибка появилась как раз после перезагрузки компьютера... Я считал что это скрипт виноват... Есть идеи с чем может быть связан сей факт?
15.02.2011, 17:02
Bratez

[QUOTE='spec4pz;767748']Файлы я удаляю каждый раз. Они постепенно появляются снова и снова. Не знаю с чем это связано.[/QUOTE]
Зловред, который мы с Вами лечили, не что иное как сетевой червь. А проникает он через дыру в системе. Можно ли ее закрыть - большой вопрос, ведь Win2k уже не поддерживается, если не ошибаюсь. Поставьте все доступные обновления безопасности, если это не спасет - наверно придется подумать о переходе на что-то более современное.

[QUOTE='spec4pz;767748']По поводу WinRoute ... Есть идеи с чем может быть связан сей факт?[/QUOTE]
К сожалению, нет.
15.02.2011, 21:47
thyrex

А также

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
16.02.2011, 21:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\21.exe - [B]Net-Worm.Win32.Kolab.tub[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\winnt\\system32\\22.exe - [B]Net-Worm.Win32.Kolab.tub[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\winnt\\system32\\23.exe - [B]Net-Worm.Win32.Kolab.tub[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\winnt\\system32\\61.exe - [B]Net-Worm.Win32.Kolab.tub[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\winnt\\system32\\67.exe - [B]Net-Worm.Win32.Kolab.tvv[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\winnt\\system32\\73.exe - [B]Net-Worm.Win32.Kolab.tub[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5896152, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\winnt\\system32\\77.exe - [B]Net-Worm.Win32.Kolab.tvv[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\winnt\\system32\\82.exe - [B]Net-Worm.Win32.Kolab.tvv[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[*] c:\\winnt\\system32\\84.exe - [B]Net-Worm.Win32.Kolab.tvv[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )[/LIST][/LIST]