ccdrive32/jjdrive32 etc

**hypnotoad** · 06.01.2010, 17:07

Собственно, эта парочка и куча сопутствующих вирей вида 234.ехе и т.д.
Помогите залечить, удалял под безопасным режимом, появляются вновь, с обычного режима тоже удаляются, но появляются сразу после перезагрузки.
Ещё куча вирусов типа A0000513...
Пытался так же провести проверку в безопасном режиме с помощью CureIt но комп ушёл в бсод...
Вирусы сохранились даже после переустановки системы с полным форматом винта.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 06.01.2010, 17:50

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\System Volume Information\_restore{3D1013A2-2E8D-4AF9-9064-70ACE2A38A99}(2)\RP20\A0001182.exe','');
 QuarantineFile('C:\System Volume Information\_restore{3D1013A2-2E8D-4AF9-9064-70ACE2A38A99}(2)\RP20\A0001181.exe','');
 QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
 QuarantineFile('C:\WINDOWS\system32\avd32.exe','');
 QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-3835551730-3494316198-712369051-4882\sysdrv.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-5240848207-8401119937-522160967-4857\wmfcgr.exe','');
 QuarantineFile('C:\WINDOWS\ccdrive32.exe','');
 DeleteFile('C:\WINDOWS\ccdrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-5240848207-8401119937-522160967-4857\wmfcgr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-3835551730-3494316198-712369051-4882\sysdrv.exe');
 DeleteFile('C:\WINDOWS\jjdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 DeleteFile('C:\WINDOWS\system32\avd32.exe');
 DeleteFile('C:\System Volume Information\_restore{3D1013A2-2E8D-4AF9-9064-70ACE2A38A99}(2)\RP20\A0001181.exe');
 DeleteFile('C:\System Volume Information\_restore{3D1013A2-2E8D-4AF9-9064-70ACE2A38A99}(2)\RP20\A0001182.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','avd32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
в AVZ - меню "файл" - Мастер поиска и устранения проблем - пуск - исправить нестандартный диспетчер задач.
Сделайте новые логи по правилам.

**hypnotoad** · 06.01.2010, 18:12

в AVZ - меню "файл" - Мастер поиска и устранения проблем - пуск - исправить нестандартный диспетчер задач.

Вот именно такого не нашёл, было только "подмена диспетчера задач", исправил, но она появляется опять после нажатия пуск.
Сделал новые логи.

Обнаружил ещё IEToolbar404 которой никак не хочет удаляться, после перезагрузки появляется вновь.

**thyrex** · 06.01.2010, 20:55

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-3029413482-9802698447-427740100-3864\msdrive.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3029413482-9802698447-427740100-3864\msdrive.exe');
 QuarantineFile('C:\Documents and Settings\Эдик\Local Settings\Temp\595.exe','');
 QuarantineFile('C:\Documents and Settings\Эдик\Local Settings\Temp\105.exe','');
 QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll','');
 DelBHO('{1BB22D38-A411-4B13-A746-C2A4F4EC7344}');
 DelBHO('{FCBCCB87-9224-4B8D-B117-F56D924BEB18}');
 QuarantineFile('C:\WINDOWS\system32\avd32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9170228672-7225573078-103366573-1176\wmfcgr.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-3268309989-2583137776-376498109-5202\sysdrv.exe,C:\RECYCLER\S-1-5-21-9170228672-7225573078-103366573-1176\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3029413482-9802698447-427740100-3864\msdrive.exe,Explorer.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-3268309989-2583137776-376498109-5202\sysdrv.exe,C:\RECYCLER\S-1-5-21-9170228672-7225573078-103366573-1176\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3029413482-9802698447-427740100-3864\msdrive.exe,Explorer.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9170228672-7225573078-103366573-1176\wmfcgr.exe');
 DeleteFile('C:\WINDOWS\system32\avd32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','avd32');
 DeleteFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll');
 DeleteFile('C:\Documents and Settings\Эдик\Local Settings\Temp\105.exe');
 DeleteFile('C:\Documents and Settings\Эдик\Local Settings\Temp\595.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('C:\Program Files\IEToolbar404', '*.*', true);
DeleteDirectory('C:\Program Files\IEToolbar404');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**hypnotoad** · 06.01.2010, 21:06

ОК, спасибо, сделаю, как только появится возможность (комп не мой).
Уже неделю не можем справиться с этой гадостью.

**hypnotoad** · 14.01.2010, 11:19

Теперь после запуска системы открывается папка "мои документы" в проводнике.
Отослал карантин.
Выполнил скрипт, выкладываю новые логи:

**DefesT** · 14.01.2010, 13:11

Пофиксите в Hijackthis:

Код:

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\ccdrive32.exe
O4 - HKLM\..\Run: [Microsoft Update Setup] C:\WINDOWS\jjdrive32.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ccdrive32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Update Setup] C:\WINDOWS\jjdrive32.exe

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\ccdrive32.exe');
 QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
 QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
 QuarantineFile('C:\WINDOWS\ccdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9804151080-7196290382-579054680-8237\wmfcgr.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9804151080-7196290382-579054680-8237\wmfcgr.exe,C:\RECYCLER\S-1-5-21-4007076241-4986810098-665787095-2761\sysdrv.exe,explorer.exe,Explorer.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-4007076241-4986810098-665787095-2761\sysdrv.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4007076241-4986810098-665787095-2761\sysdrv.exe');
 QuarantineFile('c:\windows\ccdrive32.exe','');
 DeleteFile('c:\windows\ccdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9804151080-7196290382-579054680-8237\wmfcgr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9804151080-7196290382-579054680-8237\wmfcgr.exe,C:\RECYCLER\S-1-5-21-4007076241-4986810098-665787095-2761\sysdrv.exe,explorer.exe,Explorer.exe');
 DeleteFile('C:\WINDOWS\ccdrive32.exe');
 DeleteFile('C:\WINDOWS\jjdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
На ПК есть расшаренные ресурсы?

**hypnotoad** · 14.01.2010, 16:14

Просканировал под безопасным режимом AVPTool, вроде бы он чего-то удалил, система не ушла в бсод.
Расшаренных ресурсов нет. ccdrive с jjdrive вроде бы ушли, но в sys32 полно вирусов типа 31.exe.
Выполнил всё, перестали открываться мои документы, создал новые логи, отправил карантин:

**DefesT** · 14.01.2010, 17:35

Закройте все программы. Активной заразы не видно, но выполните такой скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\11.exe');
 DeleteFile('C:\WINDOWS\system32\14.exe');
 DeleteFile('C:\WINDOWS\system32\20.exe');
 DeleteFile('C:\WINDOWS\system32\23.exe');
 DeleteFile('C:\WINDOWS\system32\32.exe');
 DeleteFile('C:\WINDOWS\system32\53.exe');
 DeleteFile('C:\WINDOWS\system32\54.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');
 DeleteFile('C:\WINDOWS\system32\60.exe');
 DeleteFile('C:\WINDOWS\system32\70.exe');
 DeleteFile('C:\WINDOWS\system32\78.exe');
 DeleteFile('C:\WINDOWS\system32\83.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится
Сделайте для контроля лог - virusinfo_syscheck.zip

**hypnotoad** · 14.01.2010, 18:10

Сделал, пока вроде авира не орёт с разу после старта, помониторю ещё.
Вот лог:

**DefesT** · 14.01.2010, 21:04

Чисто

**hypnotoad** · 16.01.2010, 17:48

Благодарю за помощь!

**CyberHelper** · 17.01.2010, 17:48

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 29
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\эдик\local settings\temp\105.exe - Trojan.Win32.Buzus.cszj ( DrWEB: Trojan.MulDrop.51595, BitDefender: Worm.Generic.104312, NOD32: Win32/Delf.OXF trojan, AVAST4: Win32:Palevo-S [Wrm] )
2. c:\documents and settings\эдик\local settings\temp\595.exe - Trojan.Win32.Buzus.cszj ( DrWEB: Trojan.MulDrop.51595, BitDefender: Worm.Generic.104312, NOD32: Win32/Delf.OXF trojan, AVAST4: Win32:Palevo-S [Wrm] )
3. c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Net-Worm.Win32.Kolab.fls ( DrWEB: BackDoor.IRC.Bot.168, BitDefender: IRC-Worm.Generic.8819, AVAST4: Win32:Delf-NCC [Drp] )
4. c:\recycler\s-1-5-21-3268309989-2583137776-376498109-5202\sysdrv.exe - P2P-Worm.Win32.Palevo.npl ( BitDefender: Backdoor.Bot.111796, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Palevo-T [Wrm] )
5. c:\system volume information\_restore{3d1013a2-2e8d-4af9-9064-70ace2a38a99}(2)\rp20\a0001181.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2941480, AVAST4: Win32:Trojan-gen )
6. c:\system volume information\_restore{3d1013a2-2e8d-4af9-9064-70ace2a38a99}(2)\rp20\a0001182.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2959658, AVAST4: Win32:Trojan-gen )
7. c:\windows\jjdrive32.exe - P2P-Worm.Win32.Palevo.npl ( BitDefender: Trojan.Generic.IS.109015, AVAST4: Win32:Palevo-T [Wrm] )
8. c:\windows\system32\avd32.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2941480, AVAST4: Win32:Trojan-gen )
9. c:\windows\system32\wshost32.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2959658, AVAST4: Win32:Trojan-gen )
10. c:\windows\system32\11.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
11. c:\windows\system32\14.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
12. c:\windows\system32\20.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
13. c:\windows\system32\23.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
14. c:\windows\system32\32.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
15. c:\windows\system32\53.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
16. c:\windows\system32\54.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
17. c:\windows\system32\57.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
18. c:\windows\system32\60.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
19. c:\windows\system32\70.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
20. c:\windows\system32\78.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )
21. c:\windows\system32\83.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )

ccdrive32/jjdrive32 etc (заявка № 66119)

Опции темы

ccdrive32/jjdrive32 etc

Антивирусная помощь

Итог лечения

Похожие темы

ccdrive32/jjdrive32 etc 2

Вирус ccdrive32.exe

ccdrive32.exe и т.д

jjdrive32, ccdrive32

ccdrive32, jjdrive32, ещё что-то

Метки для этой темы

Ваши права в разделе