Вирус: mcdriver32.exe

Printable View

Показывать 40 сообщений этой темы на одной странице

29.08.2009, 10:56
АРТЁМ

Вложений: 3

Вирус: mcdriver32.exe

Добрый день. Собственно прошу о помощи появилась такая зараза ещё имеет вид (число).exe. Блокирует выход в интернет через любой браузер: почистил реестр удалил систем волюм удалил автораны, удалил его с диска "с" масимум пропадает на 5 часов через 5 часов снова запускается. В логе хайджека он в 2х пунктах...
29.08.2009, 11:21
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteRepair(13);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\WINDOWS\mcdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0282481878-8163950110-322674403-0650\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0282481878-8163950110-322674403-0650\csvcs.exe');
DeleteFile('C:\WINDOWS\mcdrive32.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Установите Adobe Acrobat Reader 9.1.3 или удалите старый.
29.08.2009, 18:18
АРТЁМ

Вложений: 1

Вот сделал.
29.08.2009, 18:50
Rene-gad

[QUOTE=AndreyKa;458285]
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы..[/QUOTE]А что Вы сделали?
29.08.2009, 18:56
АРТЁМ

[QUOTE=Rene-gad;458473]А что Вы сделали?[/QUOTE]
я извиняюсь я что то неправильно прислал? или нужно ещё раз прислать?
29.08.2009, 19:29
Rene-gad

[QUOTE=АРТЁМ;458476]я извиняюсь я что то неправильно прислал?[/QUOTE]Вы карантин в тему прикрепили.
30.08.2009, 10:19
AndreyKa

[QUOTE=АРТЁМ]Я из этой темы: [URL]http://virusinfo.info/forumdisplay.php?f=46[/URL] более 5 часов прошло после выполненного скрипта который вы написали и вирус пока не обьявился. Означает ли всё что у меян нет вируса? и если я переустановлю винду всё будет норм или лучше карантин удалить? И ещё вопрос почему модератор удалил карантин кот орый вы попросили скинуть? Заранее приного благодарен изиняюсь что задаю глупые вопрос но разобраться сам не могу извиняюсь за беспокойство.[/QUOTE]
Вируса и не было :) у вас был троян.
Windows переустанавливать не обязательно.
Карантин надо загрузить используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху вашей темы.
30.08.2009, 14:07
Rene-gad

+ AndreyKa
[QUOTE]изиняюсь что задаю глупые вопрос [/QUOTE]глупых вопросов не бывает - бывают глупые ответы.
[QUOTE]разобраться сам не могу[/QUOTE]
[QUOTE=Правила] Если Вы не понимаете, что Вас просят сделать, то в этом случае Вам лучше обратиться к специалистам ближайшей компьютерной фирмы.[/QUOTE]
31.08.2009, 17:29
АРТЁМ

Прошло 2 дня и он снова появился((( как защитить подскажите.
31.08.2009, 17:36
Белый Сокол

[B]АРТЁМ[/B], SP3 ставить и обновления загружать. Делайте логи.
01.09.2009, 08:45
АРТЁМ

Вложений: 3

Вот сделал
01.09.2009, 10:11
Белый Сокол

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью [url="http://www.atribune.org/ccount/click.php?id=1"]ATF Cleaner[/url]
- скачайте [url="http://www.atribune.org/ccount/click.php?id=1"]ATF Cleaner[/url], запустите, поставьте галочку напротив [b]Select All[/b] и нажмите [b]Empty Selected.[/b]
- если вы используете [b]Firefox[/b], нажмите [b]Firefox - Select All - Empty Selected[/b].
- нажмите [b]No[/b], если вы хотите оставить ваши сохраненные пароли.
- если вы используете [b]Opera[/b], нажмите [b]Opera - Select All - Empty Selected[/b].
- нажмите [b]No[/b], если вы хотите оставить ваши сохраненные пароли.

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8077807168-5666321432-119238476-2511\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
TerminateProcessByName('c:\windows\mcdrive32.exe');
QuarantineFile('c:\windows\mcdrive32.exe','');
TerminateProcessByName('c:\docume~1\804b~1\locals~1\temp\708.exe');
QuarantineFile('c:\docume~1\804b~1\locals~1\temp\708.exe','');
DeleteFile('c:\docume~1\804b~1\locals~1\temp\708.exe');
DeleteFile('c:\windows\mcdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG914-K641-26SF-N32P');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\RECYCLER\S-1-5-21-8077807168-5666321432-119238476-2511\csvcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('c:\docume~1\804b~1\locals~1\temp\', '*.*', true);
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(13);
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Готовьте новые логи.
01.09.2009, 11:37
АРТЁМ

Вложений: 3

Очистил диск там очень мало файлов. вот логи.
01.09.2009, 12:00
AndreyKa

Чисто.
Установите Adobe Acrobat Reader 9.1.3 или удалите старый.
01.09.2009, 12:09
АРТЁМ

Спасибо большое за скрипт а не подскажите откуда он появляется то вирус?
01.09.2009, 12:20
AndreyKa

Попал к вам из сети через уязвимости в Windows.
c:\windows\mcdrive32.exe = Net-Worm.Win32.Kolab.drn - по русски: сетевой червь.
01.09.2009, 12:32
АРТЁМ

ну то что из сети то я видел и всю доргу его удалял отовсюду а сейчас с сп3 он больше не пройдёт так сказать ага?
01.09.2009, 12:39
AndreyKa

После SP3 вышло еще несколько десятков патчей. Если они установленны, то не пройдет.
01.09.2009, 18:41
АРТЁМ

Опять появился:( как узнать откуда он лезет и можно ли доступ перекрыть?
03.09.2009, 07:36
АРТЁМ

Помогите пожалуйста скрипты повторял систему сносил касперского включал а они всеровно появляются(((

Показывать 40 сообщений этой темы на одной странице