-
мутанты вируса cfdrive32
все началось именно с появления cfdrive32,который грузил сиситему,затруднял выход в инет,открывал папку мои документы.удалялся,нос последующей перезагрузкой компа опять запускался. помог только Вами предоставленный скрипт. но не надолго.недели через две появился cwdriv32 с теми же симптомами.лечащая утилита от доктор веб не помагала.помог опять Ваш скрипт.прошло еще чуть более недели и уже появилась третья разновидность-gwdrive32. симптомы старые,совершенно не поддается лечению доктором вебом. стал еще агрессивней,тормозит надолго систему,блокирует доступ в инет. пожалуйста,прошу помощи. спасибо.прикрепляю логи:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\gwdrive32.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\qjurya.exe');
QuarantineFile('c:\windows\qjurya.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\qqx.exe');
QuarantineFile('pvmjpg30.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Qqx.exe','');
QuarantineFile('C:\WINDOWS\Qjurya.exe','');
QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\62.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\Qjurya.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Qqx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','JP595IR86O');
DeleteFile('c:\windows\qjurya.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5183083927-1056431136-399927337-0276\csisd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6317296224-6759702473-800009461-8877\csidrv.exe');
DeleteFile('C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteFile('C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите логи
-
вот логи после выполнения скриптов
-
Нет, это старые логи. Сделайте новые.
-
извините,скинул не те логи. вот правильные
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\035.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
-
вот логи.обратил внимание в моих документах/админ/апликатион дата/ постоянно висит и не удаляется ltzgai.exe/ может в нем причина?
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\035.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Повторите логи АВЗ
-
-
предыдущим скриптом ltzgai.exe удалился. после перезагрузки компа опять появился.
-
Попробуем их грохнуть из безопасного режима -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\035.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Сделайте новые логи АВЗ, ну и сами понаблюдайте и расскажите
-
после выполнения последнего скрипта все вернулось на круги своя.опять при загрузке выскакивают мои документы,в процессах трудится gwdriwe32 со всеми вытекающими отсюда последствиями. притом даже в безопасном режиме открываются мои документы,хотя лишних процессов не наблюдаю.????????? вот вложения:
-
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\gwdrive32.exe');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\37.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Сделайте новые логи
Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
-
логи после выполненных операций:
-
-
Отключите [B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
-
все помагает,все хорошо,пока комп не подключен к инету. стоит только подключится,вся эта дрянь сразу начинает пролезать в компьютер. антивирус не помагает. пробовал и аваст о доктор веб-результат тот же.
-
[QUOTE='thyrex;749086']Установите все [URL="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/URL] для Windows[/QUOTE]Это сделали? Без него никак
-
установил последние обновления,прогнал мальваре,вот лог,пока все нормально
-
-
пока нет.обычно сразу с выходом винет грузился msmiode.exe. покавсе ок. спасибо за участие.проще всего было бы переставить винду,но дело в том что я уже это делал. затишье было где-то с месяц.зтем все повторилось.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]40[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\admin\\locals~1\\temp\\qqx.exe - [B]Trojan-Downloader.Win32.CodecPack.sjt[/B] ( DrWEB: Trojan.Siggen2.10541, BitDefender: Trojan.Generic.5254715, AVAST4: Win32:Malware-gen )[*] c:\\docume~1\\admin\\locals~1\\temp\\qqx.exe - [B]Trojan-Downloader.Win32.CodecPack.aadt[/B] ( DrWEB: Trojan.Siggen2.10541, BitDefender: Gen:Variant.Kazy.6367, AVAST4: Win32:MalOb-EA [Cryp] )[*] c:\\windows\\gwdrive32.exe - [B]Trojan.Win32.VBKrypt.agtw[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Heur.IPZ.3, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\gwdrive32.exe - [B]Trojan.Win32.VBKrypt.aglm[/B] ( DrWEB: Trojan.DownLoader1.46959, BitDefender: Trojan.Generic.5336987, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\qjurya.exe - [B]Trojan-Downloader.Win32.CodecPack.aadv[/B] ( DrWEB: Trojan.DownLoader1.46957, BitDefender: Gen:Variant.Kazy.6367, AVAST4: Win32:MalOb-EA [Cryp] )[*] c:\\windows\\system32\\sshnas21.dll - [B]Trojan-Downloader.Win32.CodecPack.aadu[/B] ( DrWEB: BackDoor.Click.1070, BitDefender: Trojan.Generic.KDV.92391, AVAST4: Win32:MalOb-EA [Cryp] )[/LIST][/LIST]
Page generated in 0.00240 seconds with 10 queries