-
Junior Member
- Вес репутации
- 50
проблеммы с удалением cfdrive32
при загрузке ос открывается окно мои документы.при активном подключении к интернет генерируется cfdrive32,который грузит систему.приэтом в папке документ енд сеттинг появляются вредоносные файлы с расширением exe.удаление выше указанных компонентов разгружает систему,но с последующей перезагрузкой все повторяется.прошу помощи.
Последний раз редактировалось V_Bond; 17.11.2010 в 22:49.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\416.exe');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\35.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('c:\windows\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4848957305-7642627165-401120120-9448\syscr.exe');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exee');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
выполните http://virusinfo.info/showthread.php?t=58309
-
-
Junior Member
- Вес репутации
- 50
вотлоги после выполнения скрипта
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
по истечении полумесяца проблемма та же. притом прогонка старых скриптов уже не помагает. вот мои новые вложения:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\84.exe','');
QuarantineFile('C:\WINDOWS\system32\81.exe','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\55.exe','');
QuarantineFile('C:\WINDOWS\system32\50.exe','');
QuarantineFile('C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\WINDOWS\system32\30.exe','');
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\WINDOWS\system32\05.exe','');
QuarantineFile('C:\WINDOWS\system32\02.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\81.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\cwdrive32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Установите все новые обновления для Windows
Сделайте новые логи + лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Последний раз редактировалось thyrex; 05.12.2010 в 21:38.
Причина: Пришлите по правилам
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\cwdrive32.exe - Trojan.Win32.VBKrypt.aetz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5237164, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\00.exe - P2P-Worm.Win32.Palevo.bjhk ( DrWEB: Trojan.Inject.15940, BitDefender: Trojan.Generic.5193208, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\02.exe - P2P-Worm.Win32.Palevo.bjdx ( DrWEB: Trojan.Inject.16006, BitDefender: Trojan.Generic.KDV.81626, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\05.exe - P2P-Worm.Win32.Palevo.bjdx ( DrWEB: Trojan.Inject.16006, BitDefender: Trojan.Generic.KDV.81626, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\26.exe - P2P-Worm.Win32.Palevo.bjhk ( DrWEB: Trojan.Inject.15940, BitDefender: Trojan.Generic.5193208, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\30.exe - P2P-Worm.Win32.Palevo.bjhk ( DrWEB: Trojan.Inject.15940, BitDefender: Trojan.Generic.5193208, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\46.exe - P2P-Worm.Win32.Palevo.bjdx ( DrWEB: Trojan.Inject.16006, BitDefender: Trojan.Generic.KDV.81626, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\50.exe - P2P-Worm.Win32.Palevo.bjhk ( DrWEB: Trojan.Inject.15940, BitDefender: Trojan.Generic.5193208, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\55.exe - P2P-Worm.Win32.Palevo.bjhk ( DrWEB: Trojan.Inject.15940, BitDefender: Trojan.Generic.5193208, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\67.exe - P2P-Worm.Win32.Palevo.bjhk ( DrWEB: Trojan.Inject.15940, BitDefender: Trojan.Generic.5193208, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\81.exe - P2P-Worm.Win32.Palevo.bjhk ( DrWEB: Trojan.Inject.15940, BitDefender: Trojan.Generic.5193208, AVAST4: Win32:Malware-gen )
-