-
Junior Member
- Вес репутации
- 48
Помогите! ghdrive32, hddd, new1 *.exe
Добрый день. Ребята, помогите справиться с этим злодеем, вообщем месяц назад увидел в процессах ghdrive32.exe, потом начали выбиваться окна от hddd.exe, в папке system32 добавлялись экзешники от 01.ехе до 99.ехе. Начались проблемы с инетом, его либо небыло либо был очень медленный, что на сайт зайти невозможно. Переустановил систему с форматированием диска Ц (остальные оставил (фильмы, игры, софт)) 30 минут назад, сразу установил все обновления от Microsoft, qip и opera. Ничего лишнего. И опять проблемы с инетом, в процессах висит ghdrive32, пошли создаваться файлы hddd.exe и new1.exe (fewnew1.exe тудаже).
Прошу помощи от вас, ребята, буду премного благодарен. Только один ньюанс.. Я с AVZ не имел дело никогда, и как делать скрипты, делать логи я незнаю. Если сможете дословно обяъснить, в долгах не останусь
Спасибо заранее.
Последний раз редактировалось Zeereal; 22.04.2011 в 19:07.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Логи по правилам можно сделать так.
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
hedgars
Здравствуйте.
Логи по правилам можно сделать
так.
Спасибо, сделано. Разобрался. Логи прикрепил к посту. Жду ответа.
PS:
virusinfo_syscure.rar сделан после отмены ghdrive32.exe с процессов. Если нужно - пересканирую.
-
ОтключитеСистемное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\15.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
QuarantineFile('C:\WINDOWS\ghdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\WINDOWS\ghdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- Поставте все последние обновления системы Windows - тут
После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 48
Полное сканирование Мальваром сделал. Все обновления с майкрософта скачал. Перезагрузился, новые логи готовы.
Карантин отправлен.
-
Удалите в MBAM:
Код:
Заражённые процессы в памяти:
c:\documents and settings\Maximus\hdddx.exe (Worm.PalDot.Gen) -> 120 -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced HTTPL Enable (Worm.PalDot.Gen) -> Value: Advanced HTTPL Enable -> No action taken.
Заражённые папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\documents and settings\Maximus\hdddx.exe (Worm.PalDot.Gen) -> No action taken.
c:\documents and settings\Maximus\hdcd.exe (Spyware.OnlineGames) -> No action taken.
c:\documents and settings\Maximus\hddd.exe (Spyware.OnlineGames) -> No action taken.
c:\documents and settings\Maximus\new1.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6RCNAP6V\new2[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QXEXSLEV\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\WINDOWS\system32\31.exe (Worm.Palevo.XGen) -> No action taken.
e:\avz4\quarantine\2011-04-22\avz00001.dta (Worm.Palevo.XGen) -> No action taken.
e:\avz4\quarantine\2011-04-22\avz00003.dta (Worm.Palevo.XGen) -> No action taken.
e:\avz4\quarantine\2011-04-22\avz00004.dta (Spyware.OnlineGames) -> No action taken.
e:\downloads\Soft\SuMo\sumo 2.6.0.75.exe (Adware.RelevantKnowledge) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe (Worm.AutoRun.Gen) -> No action taken.
Сделайте повторный лог MBAM.
-
-
Junior Member
- Вес репутации
- 48
-
-
-
Junior Member
- Вес репутации
- 48
В автозагрузке появились какие-то непонятные символы, и постоянные попытки меня взломать, малвар блокирует. На скрине показал оба случая.
-
Сделайте новые логи AVZ и HijackThis.
-
-
Junior Member
- Вес репутации
- 48
-
Пофиксите в HijackThis:
Код:
F3 - REG:win.ini: load=?
F3 - REG:win.ini: run=?
Повторите логи.
-
-
Junior Member
- Вес репутации
- 48
Done. Но попытки проникновения ко мне происходят постоянно, когда захожу на какой-то сайт.. (Добавил во вложения лог проникновений)
-
В логах ничего плохого.
Попробуйте отключить резидентную защиту MBAM.
-
-
Junior Member
- Вес репутации
- 48
Хорошо. Отключить MBAM. Пока проблемов не вижу, если что - отпишусь. Надеюсь не прийдется
Спасибо большое за помощь.
Последний раз редактировалось Zeereal; 23.04.2011 в 13:26.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 48
У меня появился вопрос. В файрволе я посмотрел сетевую активность, и счетчик накрутки NOD32 скачет бешанно. Тоесть постоянно чтото отдает и принимает. Объясните, что это показывает, может я не так понимаю?
И нормально ли это?
Скрин приложил.
-
Сообщение от
Zeereal
И нормально ли это?
Думаю, что нормально. Скорее всего, антивирус ищет обновления баз и скачивает их.
-
-
Junior Member
- Вес репутации
- 48
А мне почему-то кажеться, что не нормально... Обновления установлены были сразу после установки антивируса.
-
Сообщение от
Zeereal
Обновления установлены были сразу после установки антивируса.
Он же скачивает обновления баз по мере появления новых описаний вирусов. Следовательно, он будет скачивать новые описания зловредов часто.
-
-
Junior Member
- Вес репутации
- 48
Ничего себе. 11 600 000 000 памяти.. странновато)