Трояны, ggdrive32.exe, ошибки...

[Pomor]

Здравствуйте,

У меня такая проблемы: программа ggdrive32.exe(видимо червь) в диспетчере задач постоянно, какие то файлы 42.exe, 38.exe тоже. Прогу эту находил в поисковике удалял но она все равно возвращается. Что то мне подсказывает что это вирус какой-то. Инет стал постоянно вылетать, скорости совсем нет, виндовс виснет. А посл время стала выходить ещё одна ошибка Generic Host Process for Win32 Services. Инет сразу падает, комп виснет.

Помогите пожалуйста

[Acidorum]

Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:

Code:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\88.exe','');
QuarantineFile('C:\WINDOWS\system32\80.exe','');
QuarantineFile('C:\WINDOWS\system32\77.exe','');
QuarantineFile('C:\WINDOWS\system32\72.exe','');
QuarantineFile('C:\WINDOWS\system32\66.exe','');
QuarantineFile('C:\WINDOWS\system32\63.exe','');
QuarantineFile('C:\WINDOWS\system32\61.exe','');
QuarantineFile('C:\WINDOWS\system32\56.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
QuarantineFile('C:\WINDOWS\system32\41.exe','');
QuarantineFile('C:\WINDOWS\system32\30.exe','');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\WINDOWS\system32\18.exe','');
QuarantineFile('C:\WINDOWS\system32\13.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\18.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\66.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Code:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Повторите логи.

[Pomor]

карантин выслал. ggdrive32.exe все ещё висит в диспетчере задач. повторяю логи

[Acidorum]

Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:

Code:

begin
 ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\ggdrive32.exe');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe','');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('c:\windows\ggdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Code:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Повторите логи.

[Pomor]

новый карантин выслал. ggdrive32.exe все ещё висит в диспетчере задач. Повторяю логи

[Acidorum]

Живучий червяк.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:

Code:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\75.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
BC_DeleteFile('C:\Documents and Settings\Администратор\Application Data\bowcav.exe');
BC_DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Code:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Повторите логи.
Подготовьте лог MBAM.

[Bratez]

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Систему надо обновлять, иначе эта зараза будет пролазить снова и снова.

[Pomor]

карантин выслал. ggdrive32.exe живее всех живых) Повторные логи выслал. Ребят объясните нужно сервис пак 3, обновления какие то?

[Pomor]

Лог mbam

[thyrex]

Систему обновили?

Удалите в МВАМ все найденное

[Pomor]

Здравствуйте, обновить конкретно что надо? Поставить Сервис пак 3 и обновить интернет эксплоуер?

Добавлено через 51 секунду

в mbam все удалил

[thyrex]

обновить конкретно что надо?

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)

в mbam все удалил

Обновитеcm и сделайте новый лог МВАМ

[Pomor]

Здравствуйте ещё раз... Наконец поставил sp3, эксплоуер 8 и обновления. Сделал лог mbam

[миднайт]

Удалите в mbam:

Code:

Заражённые файлы:
c:\WINDOWS\system32\30.scr (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\txyrm.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\36.scr (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\48.scr (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\53.scr (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\62.scr (Trojan.Dropper) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\Q9IJKL6B\yy[1].exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.

Повторите лог mbam

[Pomor]

В mbam всё удалил. Извините не понял куда последний код вводить? в AVZ там не подходит вроде: ни шапки и конца нет. Повторный лог mbam прилагаю...

[миднайт]

Чисто.
Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Что с проблемой?

[Pomor]

Скрипт сделал он нашел одну уязвимость. обновил. повторно уязвимостей не было найдено. Основная проблема с ggdrive32.exe устранена, ошибка больше не вылазит. посмотрите ещё раз лог mbam - вроде удаляешь все в mbam а зараженные ключи, зараженные параметры реестра всё равно находяться при новом сканировании... В принципе по работоспособности инета притензий нет. может сами по себе они эти зараженные объекты не опасны? Посоветуйте пожалуйста. Лог mbam прилагаю

[миднайт]

Раньше этих находок не было. Удалите все найденно в mbam в безопасном режиме.

[Pomor]

Не могу зайти в безопасный режим. При попытке зайти появляется надпись Press ESC to cancel loading SPTD.sys. и комп перезагружается. SPTD.sys это как я понимаю нормальный драйвер вроде как эмуляторов дисков типа Daemon tools который у меня как раз стоит. Пришлось удалять в обычном режиме виндовс. После перезагрузки сканирую в mbam - новые зараженные объекты. Что посоветуете? лог mbam прилагаю

[Pomor]

лог mbam