Заражен ноут Acer ggdrive32.exe

Printable View

22.02.2011, 16:03
[RUS]lan

Заражен ноут Acer ggdrive32.exe

Доброго Времени Суток, имеется зараженный ноут, был просканен [B]Утилитой Кашперовского[/B] и [B]Emsisoft Anti-Malware[/B], вирус найден удален, также была чистка автозагрузки (через Авторан утилиту) всех возможных мест руками, всё удалено, но! после посещения интернета (флеш-модем МегаФон) вирус воскрес!
Какие симптомы:
-на сьемных носителях появляется неудаляемый авторан.инф с папкой RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe
этаже папка с файлом живет на диске С
-после входа в инет через некоторое время подвисает internet explorer and explorer.exe
Думаю может этот гад гдето еще живет? может в драйверах где или еще каким нить способом загружается...
ПС: сори за не все логи, syscheck лог почемуто не получилос сделать утилита пособирав инфу почемуто вылетела....ноут не мой владельцы чайники антивирус был стар обновив его легче не стало, вирус видит но только его последствия удаляет какойто файл x.bat на диске С....приду только через 2 дня к ним и то чтото надо будет сделать, так что придется быть без syscheck.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Результат загрузки
Файл сохранён как 110222_160229_virusinfo_cure_4d63b3e5b00a1.zip
Размер файла 175749
MD5 b9069b9cc1f8eb9a42f5de4713a9f4c0
22.02.2011, 17:13
Acidorum

Здравствуйте.
[QUOTE]Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]
Пожалуйста, обновите базы AVZ (Файл->Обновление баз) и сделайте новый полный комплект логов (hijackthis.log; virusinfo_syscure.zip; virusinfo_syscheck.zip).
24.02.2011, 18:17
[RUS]lan

Серьезный случай, забрал ноут к себе...
24.02.2011, 18:28
Acidorum

Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диск G:\
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\ggdrive32.exe');
TerminateProcessByName('c:\documents and settings\user\serv8.exe');
TerminateProcessByName('c:\documents and settings\user\ms.exe');
QuarantineFile('C:\xdx.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\kfdoakoc.sys','');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
QuarantineFile('C:\WINDOWS\system32\61.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('c:\documents and settings\user\serv8.exe','');
QuarantineFile('c:\documents and settings\user\ms.exe','');
QuarantineFile('c:\windows\ggdrive32.exe','');
DeleteFile('c:\windows\ggdrive32.exe');
DeleteFile('c:\documents and settings\user\ms.exe');
DeleteFile('c:\documents and settings\user\serv8.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\xdx.exe');
DeleteFile('G:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
Подготовьте логи [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
24.02.2011, 21:04
[RUS]lan

карантин не загружается по красной ссылке
25.02.2011, 21:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]