Вирус ggdrive32

Printable View

28.03.2011, 05:03
Salonik

Вирус ggdrive32

Доброй Ночи, проблема как и у всех сетевой червь проблема с подключением к инету прерывание и т.д
28.03.2011, 09:12
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\I386\rebuild.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YKGVM82Y\nini[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7VZG0S5Z\4444[1].exe','');
QuarantineFile('c:\windows\ggdrive32.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\hddd.exe','');
QuarantineFile('C:\WINDOWS\system32\XDva380.sys','');
DeleteService('XDva380');
DeleteService('radehwcjbdr');
QuarantineFile('C:\WINDOWS\system32\drivers\wgjzvzijpft.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\wgjzvzijpft.sys');
DeleteFile('C:\WINDOWS\system32\XDva380.sys');
DeleteFile('C:\Documents and Settings\Администратор\hddd.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Teswf');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('c:\windows\ggdrive32.exe');
ClearHostsFile;
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\7VZG0S5Z\4444[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YKGVM82Y\nini[1].exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\03224..exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\51948..exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\6889..exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\8348..exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\9489106..exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\979776..exe');
DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3940714091-5084892979-168111726-1401\winmap.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6113625042-4144346330-297862898-4921\winmap.exe');
DeleteFile('C:\WINDOWS\I386\rebuild.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\netprotdrvss');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteFile('C:\Documents and Settings\Администратор\hdcd.exe');
DeleteFile('C:\xdx.exe');
DeleteFile('C:\Program Files\hfs\hfs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
установите сп3 + все доступные обновления
повторите логи
28.03.2011, 15:57
Salonik

Карантит отправлен ! Большое спасибо. обновления будут зделаны.
28.03.2011, 16:31
V_Bond

пофиксите
[code]
F2 - REG:system.ini: UserInit=userinit.exe,
[/code]
29.03.2011, 00:46
Salonik

Спасибо. Спрашивает у меня Знакомый если винда Пиратка обновления не пройдут ? Вылетает error svchost.exe после закрытия возможно Зависания компа. Подскажите что с этой бедой делать ? или проше Фарматнуть и Бросить 200гигов в мусорку ((.

[size="1"][color="#666686"][B][I]Добавлено через 54 минуты[/I][/B][/color][/size]

((( Ни чего не помогло Так же прерывается инет не грузит не видео с трудом открывает ссылки . хотя и процесов этих уже и не видать но не знаю что делать((((
29.03.2011, 03:00
thyrex

[QUOTE='Salonik;778696']Спрашивает у меня Знакомый если винда Пиратка обновления не пройдут ?[/QUOTE]После установки SP3 может слететь активация. Это с одной стороны

Если не установить обновлений, лечиться бесполезно. Это с другой стороны

Потому, если придете к варианту
[QUOTE='Salonik;778696']проше Фарматнуть и Бросить 200гигов в мусорку[/QUOTE]лучше ставить стистему с интегрированным SP3 и накатывать все последующие обновления
30.03.2011, 03:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]34[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\ykgvm82y\\nini[1].exe - [B]P2P-Worm.Win32.Palevo.bjgd[/B] ( DrWEB: Trojan.Inject.16040, BitDefender: Trojan.Generic.KDV.82799, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\7vzg0s5z\\4444[1].exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.17588, BitDefender: Trojan.Generic.5326642, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\администратор\\hdcd.exe - [B]Worm.Win32.Bybz.epl[/B] ( DrWEB: Trojan.DownLoader2.13949, BitDefender: Trojan.Generic.5964447, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Ruskill-BN [Trj] )[*] c:\\documents and settings\\администратор\\hddd.exe - [B]Worm.Win32.Bybz.epl[/B] ( DrWEB: Trojan.DownLoader2.13949, BitDefender: Trojan.Generic.5821796, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Crypt-IWU [Trj] )[*] c:\\program files\\hfs\\hfs.exe - [B]not-a-virus:Server-FTP.Win32.SFH.a[/B][*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - [B]Trojan.Win32.Pincav.axub[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.120375, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - [B]Worm.Win32.Bybz.epl[/B] ( DrWEB: Trojan.DownLoader2.13949, BitDefender: Trojan.Generic.5964447, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Ruskill-BN [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - [B]Trojan.Win32.VBKrypt.ahat[/B] ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.5543162, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1457\\system.exe - [B]Trojan.Win32.FakeAv.awro[/B] ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Generic.5594778, AVAST4: Win32:FakeSysdef-DP [Trj] )[*] c:\\recycler\\s-1-5-21-3940714091-5084892979-168111726-1401\\winmap.exe - [B]P2P-Worm.Win32.Palevo.bjgd[/B] ( DrWEB: Trojan.Inject.16040, BitDefender: Trojan.Generic.KDV.82799, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-6113625042-4144346330-297862898-4921\\winmap.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.17588, BitDefender: Trojan.Generic.5326642, AVAST4: Win32:Malware-gen )[*] c:\\windows\\ggdrive32.exe - [B]Backdoor.Win32.Floder.dj[/B] ( DrWEB: Win32.HLLW.Autoruner1.18183, BitDefender: Trojan.Generic.KDV.170387, AVAST4: Win32:Downloader-NUE [Trj] )[*] c:\\windows\\system32\\msvmiode.exe - [B]Trojan.Win32.Scar.cunn[/B] ( DrWEB: Trojan.Packed.20986, BitDefender: Trojan.Generic.4809985, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\netprotdrvss - [B]Backdoor.Win32.Buterat.gu[/B] ( DrWEB: Trojan.Siggen.64324, BitDefender: Gen:Heur.Krypt.28, AVAST4: Win32:MalOb-AN [Cryp] )[*] c:\\windows\\system32\\umdmgr.exe - [B]Trojan-Dropper.Win32.Injector.pyc[/B] ( DrWEB: Trojan.DownLoader1.18452, BitDefender: Worm.Generic.326589, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\11.exe - [B]P2P-Worm.Win32.Palevo.bjgd[/B] ( DrWEB: Trojan.Inject.16040, BitDefender: Trojan.Generic.KDV.82799, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\30.exe - [B]P2P-Worm.Win32.Polip.a[/B] ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos )[*] c:\\windows\\system32\\40.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.17588, BitDefender: Trojan.Generic.5326642, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\44.exe - [B]P2P-Worm.Win32.Palevo.avla[/B] ( DrWEB: Trojan.DownLoader6.4751, BitDefender: Win32.Worm.Palevo.CB, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]