Junior Member
Вес репутации
53
ccdrive32/jjdrive32 etc
Собственно, эта парочка и куча сопутствующих вирей вида 234.ехе и т.д.
Помогите залечить, удалял под безопасным режимом, появляются вновь, с обычного режима тоже удаляются, но появляются сразу после перезагрузки.
Ещё куча вирусов типа A0000513...
Пытался так же провести проверку в безопасном режиме с помощью CureIt но комп ушёл в бсод...
Вирусы сохранились даже после переустановки системы с полным форматом винта.
Последний раз редактировалось hypnotoad; 06.01.2010 в 17:21 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{3D1013A2-2E8D-4AF9-9064-70ACE2A38A99}(2)\RP20\A0001182.exe','');
QuarantineFile('C:\System Volume Information\_restore{3D1013A2-2E8D-4AF9-9064-70ACE2A38A99}(2)\RP20\A0001181.exe','');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\WINDOWS\system32\avd32.exe','');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3835551730-3494316198-712369051-4882\sysdrv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5240848207-8401119937-522160967-4857\wmfcgr.exe','');
QuarantineFile('C:\WINDOWS\ccdrive32.exe','');
DeleteFile('C:\WINDOWS\ccdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5240848207-8401119937-522160967-4857\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3835551730-3494316198-712369051-4882\sysdrv.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
DeleteFile('C:\WINDOWS\system32\avd32.exe');
DeleteFile('C:\System Volume Information\_restore{3D1013A2-2E8D-4AF9-9064-70ACE2A38A99}(2)\RP20\A0001181.exe');
DeleteFile('C:\System Volume Information\_restore{3D1013A2-2E8D-4AF9-9064-70ACE2A38A99}(2)\RP20\A0001182.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','avd32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
в AVZ - меню "файл" - Мастер поиска и устранения проблем - пуск - исправить нестандартный диспетчер задач.
Сделайте новые логи по правилам.
Junior Member
Вес репутации
53
в AVZ - меню "файл" - Мастер поиска и устранения проблем - пуск - исправить нестандартный диспетчер задач.
Вот именно такого не нашёл, было только "подмена диспетчера задач", исправил, но она появляется опять после нажатия пуск.
Сделал новые логи.
Обнаружил ещё IEToolbar404 которой никак не хочет удаляться, после перезагрузки появляется вновь.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-3029413482-9802698447-427740100-3864\msdrive.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3029413482-9802698447-427740100-3864\msdrive.exe');
QuarantineFile('C:\Documents and Settings\Эдик\Local Settings\Temp\595.exe','');
QuarantineFile('C:\Documents and Settings\Эдик\Local Settings\Temp\105.exe','');
QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll','');
DelBHO('{1BB22D38-A411-4B13-A746-C2A4F4EC7344}');
DelBHO('{FCBCCB87-9224-4B8D-B117-F56D924BEB18}');
QuarantineFile('C:\WINDOWS\system32\avd32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9170228672-7225573078-103366573-1176\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3268309989-2583137776-376498109-5202\sysdrv.exe,C:\RECYCLER\S-1-5-21-9170228672-7225573078-103366573-1176\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3029413482-9802698447-427740100-3864\msdrive.exe,Explorer.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3268309989-2583137776-376498109-5202\sysdrv.exe,C:\RECYCLER\S-1-5-21-9170228672-7225573078-103366573-1176\wmfcgr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3029413482-9802698447-427740100-3864\msdrive.exe,Explorer.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9170228672-7225573078-103366573-1176\wmfcgr.exe');
DeleteFile('C:\WINDOWS\system32\avd32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','avd32');
DeleteFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll');
DeleteFile('C:\Documents and Settings\Эдик\Local Settings\Temp\105.exe');
DeleteFile('C:\Documents and Settings\Эдик\Local Settings\Temp\595.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('C:\Program Files\IEToolbar404', '*.*', true);
DeleteDirectory('C:\Program Files\IEToolbar404');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
ОК, спасибо, сделаю, как только появится возможность (комп не мой).
Уже неделю не можем справиться с этой гадостью.
Junior Member
Вес репутации
53
Теперь после запуска системы открывается папка "мои документы" в проводнике.
Отослал карантин.
Выполнил скрипт, выкладываю новые логи:
Последний раз редактировалось hypnotoad; 14.01.2010 в 11:33 .
Пофиксите в Hijackthis:
Код:
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\ccdrive32.exe
O4 - HKLM\..\Run: [Microsoft Update Setup] C:\WINDOWS\jjdrive32.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ccdrive32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Update Setup] C:\WINDOWS\jjdrive32.exe
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ccdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
QuarantineFile('C:\WINDOWS\ccdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9804151080-7196290382-579054680-8237\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9804151080-7196290382-579054680-8237\wmfcgr.exe,C:\RECYCLER\S-1-5-21-4007076241-4986810098-665787095-2761\sysdrv.exe,explorer.exe,Explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4007076241-4986810098-665787095-2761\sysdrv.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4007076241-4986810098-665787095-2761\sysdrv.exe');
QuarantineFile('c:\windows\ccdrive32.exe','');
DeleteFile('c:\windows\ccdrive32.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9804151080-7196290382-579054680-8237\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9804151080-7196290382-579054680-8237\wmfcgr.exe,C:\RECYCLER\S-1-5-21-4007076241-4986810098-665787095-2761\sysdrv.exe,explorer.exe,Explorer.exe');
DeleteFile('C:\WINDOWS\ccdrive32.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
На ПК есть расшаренные ресурсы?
Junior Member
Вес репутации
53
Просканировал под безопасным режимом AVPTool, вроде бы он чего-то удалил, система не ушла в бсод.
Расшаренных ресурсов нет. ccdrive с jjdrive вроде бы ушли, но в sys32 полно вирусов типа 31.exe.
Выполнил всё, перестали открываться мои документы, создал новые логи, отправил карантин:
Вложения
Закройте все программы. Активной заразы не видно, но выполните такой скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\54.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\83.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Сделайте для контроля лог - virusinfo_syscheck.zip
Junior Member
Вес репутации
53
Сделал, пока вроде авира не орёт с разу после старта, помониторю ещё.
Вот лог:
Junior Member
Вес репутации
53
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 29 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\эдик\local settings\temp\105.exe - Trojan.Win32.Buzus.cszj ( DrWEB: Trojan.MulDrop.51595, BitDefender: Worm.Generic.104312, NOD32: Win32/Delf.OXF trojan, AVAST4: Win32:Palevo-S [Wrm] ) c:\documents and settings\эдик\local settings\temp\595.exe - Trojan.Win32.Buzus.cszj ( DrWEB: Trojan.MulDrop.51595, BitDefender: Worm.Generic.104312, NOD32: Win32/Delf.OXF trojan, AVAST4: Win32:Palevo-S [Wrm] ) c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Net-Worm.Win32.Kolab.fls ( DrWEB: BackDoor.IRC.Bot.168, BitDefender: IRC-Worm.Generic.8819, AVAST4: Win32:Delf-NCC [Drp] ) c:\recycler\s-1-5-21-3268309989-2583137776-376498109-5202\sysdrv.exe - P2P-Worm.Win32.Palevo.npl ( BitDefender: Backdoor.Bot.111796, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Palevo-T [Wrm] ) c:\system volume information\_restore{3d1013a2-2e8d-4af9-9064-70ace2a38a99}(2)\rp20\a0001181.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2941480, AVAST4: Win32:Trojan-gen ) c:\system volume information\_restore{3d1013a2-2e8d-4af9-9064-70ace2a38a99}(2)\rp20\a0001182.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2959658, AVAST4: Win32:Trojan-gen ) c:\windows\jjdrive32.exe - P2P-Worm.Win32.Palevo.npl ( BitDefender: Trojan.Generic.IS.109015, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\avd32.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2941480, AVAST4: Win32:Trojan-gen ) c:\windows\system32\wshost32.exe - Trojan.Win32.Buzus.crty ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.2959658, AVAST4: Win32:Trojan-gen ) c:\windows\system32\11.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\14.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\20.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\23.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\32.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\53.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\54.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\57.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\60.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\70.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\78.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] ) c:\windows\system32\83.exe - P2P-Worm.Win32.Palevo.npl ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.IS.109106, AVAST4: Win32:Palevo-T [Wrm] )