Подозрение на вирус ywdrive32.exe [Backdoor.Win32.Androm.xst, Backdoor.Win32.Androm.xew
]
Добрый день. Бесконечно воскрешается файл ywdrive32.exe или yndrive32.exe в папке c:\windows. В процессе работы компьютера начинают появляться в автозагрузке и в диспетчере бесконечные процессы с рандомным названием *.exe и 24naq.exe. После проверки cureit'ом находит и удаляет эти процессы, но файл ywdrive32.exe остается и через некоторое время плодиться заново. Прошу помочь избавиться от этого феникса.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Elpluto, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Выполнил скрипт и загрузил карантин (по-моему пустой).
Сделал полный образ автозагрузки, прилепил.
А вот при запуске Malwarebytes выдает ошибку (скрин во вложении) и ie не запускается и не удаляется (пробовал его переустановить или обновить)
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
+
quarantine.zip - удалите из вложений, для отправки карантина есть специальная ссылка вверху темы.
Сообщение от Elpluto
Выполнил скрипт и загрузил карантин (по-моему пустой).
в вашем случае карантин лежит в
Код:
D:\DM\UVS\ZOO\
6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)
Прошу прощения. Прилепил карантин.
Из обновлений после скрипта AVZ предложил только http://get.adobe.com/reader/otherversions/
Но браузер IE так и не работает, обновление не помогает, удалить тоже не дает.
Что с этим можно сделать?
Последний раз редактировалось Elpluto; 19.06.2013 в 08:56.
Не происходит ничего. При нажатии на ярлык браузера или на exe файл, компьютер не производит никаких действий.
До этого прилеплял ошибку, где система ругалась на dll'ку ie при запуске malewarebytes.
"Runtime error 339. Component ieframe.dll"
Обновиться и удалить не дает. "Произошла ошибка не удалось удалить обновления"
Да, файл c:\Windows\System32\ieframe.dll испорчен.
Поищите этот файл в папке c:\Windows\winsxs, там их много должно быть, скопируйте самую свежую версию на место испорченного.
Да, файл c:\Windows\System32\ieframe.dll испорчен.
Поищите этот файл в папке c:\Windows\winsxs, там их много должно быть, скопируйте самую свежую версию на место испорченного.
Не удается заменить файл ieframe.dll, при попытки пишет "нет доступа или файл уже используется".
ywdrive32 с соплеменниками вроде пропал, только видимо зашиб dll.
Подскажите, есть ли возможность заменить dll не загружаясь с livecd?
Да, файл c:\Windows\System32\ieframe.dll испорчен.
Поищите этот файл в папке c:\Windows\winsxs, там их много должно быть, скопируйте самую свежую версию на место испорченного.
При попытке заменить в безопасном режиме ,таже самая ошибка.
Переименуйте c:\Windows\System32\ieframe.dll в ieframe.bak, на его место копируйте правильный, затем перегрузитесь. Должно прокатить.
Спасибо, помог способ, описанный на youtube (http://www.youtube.com/watch?v=C5Z9ijg5TrE).
Ie начал запускаться, но после 20 секунд работы вылетает и все равно ругается на ieframe.dll:
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: iexplore.exe
Версия приложения: 9.0.8112.16490
Отметка времени приложения: 51955cca
Имя модуля с ошибкой: IEFRAME.dll
Версия модуля с ошибкой: 9.0.8112.20600
Отметка времени модуля с ошибкой: 519554cf
Код исключения: c0000005
Смещение исключения: 0006e1aa
Версия ОС: 6.1.7601.2.1.0.256.48
Код языка: 1049
Дополнительные сведения 1: 0a9e
Дополнительные сведения 2: 0a9e372d3b4ad19135b953a78882e789
Дополнительные сведения 3: 0a9e
Дополнительные сведения 4: 0a9e372d3b4ad19135b953a78882e789
Перепробовал все возможные варианты этой библиотеки, ситуация не меняется, удалять и обновлять по-прежнему не дает. Очень бы не хотелось переставлять винду, может подскажите как победить?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: