-
Junior Member
- Вес репутации
- 53
Появился процесс ccdrive.exe, множатся файлы ***.exe
Доброго времени суток.
Сегодня в списке запущенных процессов появились непонятные процессы ccdrive.exe, jjdrive32.exe, cidrive.exe. Подключение к интернету, "благодаря им", нарушается. Кроме того, нарушается стандартная работа системы: даже «Мой компьютер» открыть невозможно, диспетчер вызывается с трудом, svchost отваливается, в system32 постепенно множатся файлы ***.exe, где вместо *** - произвольные цифры…
McAffe удаляет эти файлы, но заблокировать источник их распространения до конца не может.
Все повторяется при перезагрузке системы.
Обращалась с подобной проблемой пару месяцев назад, полученный от вас лог помог ее устранить. Сейчас все вновь повторяется, причем как "подхватываю" этот троян никак не пойму...
Помогите, пожалуйста, решить проблему.
Логи в приложенных файлах.
С уважением,
Lelka
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\scdll.exe');
TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
TerminateProcessByName('c:\windows\jjdrive32.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-7100425164-5313833733-588422294-9951\playncr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0111386613-2792867149-141351335-3559\syscr.exe','');
QuarantineFile('c:\windows\system32\scdll.exe','');
QuarantineFile('c:\windows\system32\msvmcls64.exe','');
QuarantineFile('c:\windows\jjdrive32.exe','');
QuarantineFile('C:\WINDOWS\cidrive32.exe','');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
DeleteFile('C:\WINDOWS\system32\scdll.exe');
DeleteFile('C:\WINDOWS\cidrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0111386613-2792867149-141351335-3559\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7100425164-5313833733-588422294-9951\playncr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Executerepair(11);
Executerepair(13);
Executerepair(14);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Обновите базы АВЗ!
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Файл с карантином отправлен. Базы AVZ обновлены. svchost.exe постоянно зависает. В процессах присутствуют неизвестные процессы jqs.exe, scdll.exe. Новые файлы с расширением ***.exe продолжают пявляться. McAfee постоянно удаляет файл-троян hh.exe
Новые логи приложены.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\adobearms.exe');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('C:\WINDOWS\system32\l33t.exe','');
QuarantineFile('1.exe','');
QuarantineFile('c:\program files\common files\adobearms.exe','');
DeleteFile('c:\program files\common files\adobearms.exe');
DeleteFile('1.exe');
DeleteFile('C:\WINDOWS\system32\l33t.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','patches');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Executerepair(6);
Executerepair(11);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Файл с карантином отправлен. Новые логи. :-( Все файлы после перезагрузки компьютера появляются вновь. :-(
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\scdll.exe');
TerminateProcessByName('c:\windows\cidrive32.exe');
TerminateProcessByName('c:\windows\jjdrive32.exe');
TerminateProcessByName('c:\docume~1\НАТАХА\locals~1\temp\463.exe');
TerminateProcessByName('c:\docume~1\НАТАХА\locals~1\temp\516.exe');
QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4700994927-0654103745-582259446-6591\syscr.exe,Explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4700994927-0654103745-582259446-6591\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7971659207-7563066039-420703291-4817\playncr.exe','');
QuarantineFile('c:\windows\system32\scdll.exe','');
QuarantineFile('c:\windows\jjdrive32.exe','');
QuarantineFile('c:\windows\cidrive32.exe','');
QuarantineFile('c:\docume~1\НАТАХА\locals~1\temp\516.exe','');
QuarantineFile('c:\docume~1\НАТАХА\locals~1\temp\463.exe','');
DeleteFile('c:\docume~1\НАТАХА\locals~1\temp\463.exe');
DeleteFile('c:\docume~1\НАТАХА\locals~1\temp\516.exe');
DeleteFile('c:\windows\cidrive32.exe');
DeleteFile('c:\windows\jjdrive32.exe');
DeleteFile('c:\windows\system32\scdll.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4700994927-0654103745-582259446-6591\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7971659207-7563066039-420703291-4817\playncr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7971659207-7563066039-420703291-4817\playncr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-4700994927-0654103745-582259446-6591\syscr.exe,Explorer.exe');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Up-date Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Карантин отправлен. Новые логи + лог ComboFix:
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\doc.exe
Driver::
NetSvc::
xpkdzxas
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6682:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Также сделайте новые логи AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Доброго времени суток.
Новые логи ComboFix, логи AVZ прикреплены.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\drivers\hosts
Driver::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MS Virtual CLS"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Microsoft Update Setup"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Пофиксите в HiJack
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
После выполнения скрипта в AVZ в карантине файлов не обнаружено.
Логи ComboFix и AVZ прилагаются.
-
Похоже победили. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\натаха\locals~1\temp\463.exe - Trojan.Win32.VBKrypt.qu ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.VB.OCP, AVAST4: Win32:Malware-gen )
- c:\docume~1\натаха\locals~1\temp\516.exe - Worm.Win32.VBNA.b ( DrWEB: Trojan.DownLoad.35732 )
- c:\program files\common files\adobearms.exe - Backdoor.Win32.Rbot.akay ( DrWEB: Win32.HLLW.MyBot.2849, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0111386613-2792867149-141351335-3559\syscr.exe - P2P-Worm.Win32.Palevo.afjw ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KD.10895, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Trojan.Win32.Scar.cdnd ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.VB.OCP, AVAST4: Win32:VB-PDX [Drp] )
- c:\recycler\s-1-5-21-4700994927-0654103745-582259446-6591\syscr.exe - P2P-Worm.Win32.Palevo.afjw ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KD.10895, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-7100425164-5313833733-588422294-9951\playncr.exe - Trojan.Win32.VBKrypt.oo ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.3842625, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-7971659207-7563066039-420703291-4817\playncr.exe - Trojan.Win32.VBKrypt.oo ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.3842625, AVAST4: Win32:Malware-gen )
- c:\windows\cidrive32.exe - Backdoor.Win32.IRCBot.pbt ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.KillAV.RZ, AVAST4: Win32:Malware-gen )
- c:\windows\jjdrive32.exe - Trojan.Win32.VBKrypt.og ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Generic.3830880, AVAST4: Win32:Malware-gen )
- c:\windows\system32\l33t.exe - Trojan.Win32.Buzus.eaas ( DrWEB: BackDoor.IRC.Sdbot.4889, BitDefender: Gen:Heur.VB.Krypt.10 )
- c:\windows\system32\msvmcls64.exe - Trojan.Win32.VBKrypt.qu ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.VB.OCP, AVAST4: Win32:Malware-gen )
- c:\windows\system32\scdll.exe - Backdoor.Win32.Agent.auxp ( DrWEB: Trojan.Packed.20210, AVAST4: Win32:VB-PHF [Drp] )
- c:\windows\system32\14.exe - P2P-Worm.Win32.Palevo.afjw ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KD.10895, AVAST4: Win32:Malware-gen )
- c:\windows\system32\21.exe - P2P-Worm.Win32.Palevo.afjw ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KD.10895, AVAST4: Win32:Malware-gen )
- c:\windows\system32\53.exe - P2P-Worm.Win32.Palevo.afjw ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KD.10895, AVAST4: Win32:Malware-gen )
-