jjdrive32, ccdrive32

Printable View

07.12.2009, 14:30
Suslmasusl

jjdrive32, ccdrive32

переодически запускаются процессы с названием ccdrive32, jjdrive32 после чего начинает тормозить машина и валится интернет(хотя локалка продолжает работать нормально), вместе с вышеуказанными запускаются процессы с именем ххх.ехе где х=любое целое число. я убивал их в хайджеке но они через некоторое время вновь появляются.
07.12.2009, 15:04
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\BSzBT.exe','');
QuarantineFile('C:\WINDOWS\system32\054.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4748136304-6912579641-313434614-1950\wmfcgr.exe','');
QuarantineFile('c:\windows\jjdrive32.exe','');
TerminateProcessByName('c:\windows\jjdrive32.exe');
QuarantineFile('c:\windows\system32\drivers\bszbt.exe','');
TerminateProcessByName('c:\windows\system32\drivers\bszbt.exe');
DeleteFile('c:\windows\system32\drivers\bszbt.exe');
DeleteFile('c:\windows\jjdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4748136304-6912579641-313434614-1950\wmfcgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','054');
DeleteFile('C:\WINDOWS\system32\054.exe');
DeleteFile('C:\WINDOWS\system32\drivers\BSzBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
DeleteFileMask('C:\Documents and Settings\Susl\Local Settings\Temp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Susl\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
07.12.2009, 15:31
Suslmasusl

новые логи
07.12.2009, 16:35
Suslmasusl

снова тоже самое что и раньше.
07.12.2009, 16:45
snifer67

Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
TerminateProcessByName('c:\windows\jjdrive32.exe');
BC_DeleteFile('c:\windows\jjdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0345920742-9880770128-132088903-0340\wmfcgr.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('c:\windows\jjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
DeleteFile('C:\WINDOWS\system32\600.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\wshost32.exe');
BC_DeleteFile('C:\WINDOWS\system32\600.exe');
BC_DeleteFile('C:\WINDOWS\jjdrive32.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-0345920742-9880770128-132088903-0340\wmfcgr.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
07.12.2009, 17:03
Suslmasusl

Вложений: 1

логи
07.12.2009, 17:12
snifer67

Выполните скрипт в avz
[code]begin
DeleteFileMask('C:\Documents and Settings\Susl\Local Settings\Temp', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
07.12.2009, 17:29
Suslmasusl

я не понял что значит приложить к теме выкладываю в отдельном посте
07.12.2009, 17:33
snifer67

Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=53070[/url]
07.12.2009, 18:14
Suslmasusl

запускаю Malwarebytes Antimalware и в процессе проверки начинают запускаться jjdrive32 и иже с ними, и Malwarebytes Antimalware выключается. пробовал 3 раза ни чего толкового не вышло
07.12.2009, 18:17
snifer67

Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=58309[/url]

Заплатки на Windows все стоят ?
07.12.2009, 18:24
Suslmasusl

windowsxp-kb936929-sp3-x86-rus.exe последний пак
07.12.2009, 18:36
Suslmasusl

лог комбофикса
07.12.2009, 18:45
snifer67

Комбофикс посносил зверей отлично.Продолжаем лечение...

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\drivers\BSzBT.exe');
DeleteFile(':\windows\system32\25.exe');
DeleteFileMask('C:\WINDOWS\system32','??.scr', false);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Новый лог Комбофикса.
07.12.2009, 18:55
Suslmasusl

новый лог от комбофикса
07.12.2009, 18:58
snifer67

Пролечитесь [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url] , после лечения сделаете новые логи.
07.12.2009, 20:37
Suslmasusl

полечился. зараза по прежнему ползёт.вот свежие логи
07.12.2009, 21:50
thyrex

[QUOTE='Suslmasusl;528095']windowsxp-kb936929-sp3-x86-rus.exe последний пак[/QUOTE]После него уже столько патчей вышло

[B]Отключите восстановление системы[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[URL="http://virusinfo.info/showthread.php?t=10025"]Займитесь уборкой[/URL]

Сделайте новые логи
08.12.2009, 11:03
Suslmasusl

раз мои заплатки безнадёжно устарели может быть мне что-то более свежее установить?
логи авз и хайджека до чистки комбофиксом
08.12.2009, 14:22
thyrex

Сделать логи без лога ComboFix. У Вас брандмауэр включен?
08.12.2009, 14:31
Suslmasusl

нет
08.12.2009, 14:38
snifer67

Включите брандмауэр.Сделайте заново логи.
08.12.2009, 15:12
Suslmasusl

поставил outpost. логи:
08.12.2009, 16:53
thyrex

[B][COLOR="Red"]Восстановление системы: включено[/COLOR][/B] - немедленно отключить

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-4041449596-5537623486-859188802-1579\wnzip32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7594880827-0313927627-795302149-2532\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
TerminateProcessByName('c:\windows\jjdrive32.exe');
QuarantineFile('c:\windows\jjdrive32.exe','');
TerminateProcessByName('c:\windows\system32\034.exe');
QuarantineFile('c:\windows\system32\034.exe','');
DeleteFile('c:\windows\system32\034.exe');
DeleteFile('c:\windows\jjdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\RECYCLER\S-1-5-21-7594880827-0313927627-795302149-2532\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4041449596-5537623486-859188802-1579\wnzip32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','034');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Up-date Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
08.12.2009, 22:05
Suslmasusl

до сих пор вроде всё было в порядке. извесных мне симптомов не наблюдалось.
свежие логи:
09.12.2009, 00:00
thyrex

Плохого не видно
09.12.2009, 11:51
Suslmasusl

спасибо за помощь.
10.12.2009, 11:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - [B]Trojan.Win32.Buzus.cqit[/B] ( DrWEB: Trojan.Spambot.6388, BitDefender: Trojan.Generic.2810521, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen )[*] c:\recycler\s-1-5-21-4041449596-5537623486-859188802-1579\wnzip32.exe - [B]Trojan.Win32.Buzus.crty[/B] ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2833242, AVAST4: Win32:Trojan-gen )[*] c:\recycler\s-1-5-21-4748136304-6912579641-313434614-1950\wmfcgr.exe - [B]Trojan.Win32.Buzus.crty[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2832888, AVAST4: Win32:Trojan-gen )[*] c:\recycler\s-1-5-21-7594880827-0313927627-795302149-2532\wmfcgr.exe - [B]Trojan.Win32.Buzus.crty[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.2832888, AVAST4: Win32:Trojan-gen )[*] c:\windows\jjdrive32.exe - [B]Trojan.Win32.Buzus.crty[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.Generic.104066, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\drivers\bszbt.exe - [B]Trojan.Win32.Kreeper.bbs[/B] ( DrWEB: Trojan.Packed.16593, BitDefender: Trojan.Generic.2820142, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wshost32.exe - [B]Trojan.Win32.Buzus.conk[/B] ( DrWEB: Trojan.DownLoad.41920, BitDefender: MemScan:Adware.BrowseIT.A, AVAST4: Win32:Rimecud-E [Wrm] )[*] c:\windows\system32\034.exe - [B]Trojan.Win32.Buzus.conk[/B] ( DrWEB: Trojan.DownLoad.41920, BitDefender: MemScan:Adware.BrowseIT.A, AVAST4: Win32:Rimecud-E [Wrm] )[/LIST][/LIST]