Показано с 1 по 6 из 6.

cfdrive32 и компания (заявка № 93150)

  1. #1
    Junior Member Репутация
    Регистрация
    08.12.2010
    Сообщений
    3
    Вес репутации
    49

    Thumbs down cfdrive32 и компания

    Здравствуйте!

    Тут у меня, кажется, банда недоброжелателей под предводительством cfdrive32.exe. Симптомы:
    1- в авторане прописываются cfdrive32.exe, psysnew, conime.exe и др. файлы с именами из цифр
    2- процесс cfdrive32 потихонечку передает что-то и скачивает что-то
    3- через какое-то время svchost.exe выдает ошибку и предлагает жаловаться Майкрософту
    4- при запуске компьютера, сразу открывается папка My Documents

    ..остальные вспомнить уже не могу.

    Буду очень благодарен за любую помощь

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('igfxdfk32.exe','');
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\RECYCLER\S-1-5-21-2331311071-6868791212-911040576-4929\winmap.exe,explorer.exe,C:\Documents and Settings\serik\Application Data\oekx.exe,Explorer.exe','');
     QuarantineFile('C:\Documents and Settings\serik\Application Data\oekx.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
     DeleteService('MRxCls');
     DeleteService('MRxNet');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
     DeleteFile('C:\Documents and Settings\serik\Application Data\oekx.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\RECYCLER\S-1-5-21-2331311071-6868791212-911040576-4929\winmap.exe,explorer.exe,C:\Documents and Settings\serik\Application Data\oekx.exe,Explorer.exe');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM
    - поменяйте все пароли

  4. #3
    Junior Member Репутация
    Регистрация
    08.12.2010
    Сообщений
    3
    Вес репутации
    49
    после рестарта psysnew чнова прописался в стартапе.

    еще симптом - при включении компьютера, он находит новое устройство без опознавательных знаков и пытается его установить.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('SorryKamba.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
     DeleteFile('SorryKamba.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path2');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path3');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path4');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path7');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ
    Код:
    Registry Keys Infected:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\K_O_G8 (Worm.AutoRun) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\conime.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> No action taken.
    
    Registry Values Infected:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\KM_Path7 (Worm.AutoRun) -> Value: KM_Path7 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\KM_Path4 (Worm.AutoRun) -> Value: KM_Path4 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\KM_Path3 (Worm.AutoRun) -> Value: KM_Path3 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\KM_Path2 (Worm.AutoRun) -> Value: KM_Path2 -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\KM_Path (Worm.AutoRun) -> Value: KM_Path -> No action taken.
    
    Folders Infected:
    c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    c:\WINDOWS\system32\oobe\rule8\files (Worm.AutoRun) -> No action taken.
    
    Files Infected:
    c:\documents and settings\serik\Desktop\avz4\avz4\quarantine\2010-12-06\avz00001.dta (Worm.Joleee) -> No action taken.
    c:\documents and settings\serik\Desktop\avz4\avz4\quarantine\2010-12-06\avz00002.dta (Backdoor.Bot) -> No action taken.
    c:\documents and settings\serik\Desktop\avz4\avz4\quarantine\2010-12-07\avz00001.dta (Worm.Rimecud) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184613.exe (Malware.PGen) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184706.exe (Trojan.Agent) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184700.exe (Trojan.Agent) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184705.exe (Trojan.Agent) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184711.exe (Trojan.Agent) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184712.exe (Trojan.Agent) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184721.exe (Trojan.Dropper) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195071.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195075.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184774.exe (Trojan.Downloader) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184786.exe (Malware.Packer.Gen) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184794.exe (Trojan.Downloader) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0184885.exe (Trojan.LVBP) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0188937.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0189937.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0188935.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0190123.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0190949.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0190951.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0190978.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0190980.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0193964.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0193965.exe (Worm.Joleee) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0193983.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0193999.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195061.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195115.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195117.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195126.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195128.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195135.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195154.exe (Backdoor.Bot) -> No action taken.
    c:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0195156.exe (Backdoor.Bot) -> No action taken.
    c:\WINDOWS\cwdrive32.exe (Backdoor.Bot) -> No action taken.
    d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000235.exe (Malware.Packer.Gen) -> No action taken.
    d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000264.exe (Trojan.Downloader) -> No action taken.
    d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000394.exe (Malware.Packer.Krunchy) -> No action taken.
    d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000563.exe (Trojan.Downloader) -> No action taken.
    d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000567.exe (Malware.Packer.Gen) -> No action taken.
    d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000602.exe (Malware.Packer.Gen) -> No action taken.
    d:\system volume information\_restore{0d4368bf-196c-4b49-9907-8e9d0e6c7f9d}\RP4\A0000632.exe (Trojan.Agent) -> No action taken.
    d:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP208\A0128865.exe (Rogue.BulletProofSpyware) -> No action taken.
    d:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0194762.exe (Malware.Packer.Gen) -> No action taken.
    d:\system volume information\_restore{2701b67d-f5b9-4d50-8dcc-d02fa77e63cf}\RP244\A0194985.exe (Trojan.Agent.CK) -> No action taken.
    c:\documents and settings\serik\application data\oekx.exe (Worm.Palevo) -> No action taken.
    c:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> No action taken.
    c:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> No action taken.
    c:\WINDOWS\inf\oem6C.PNF (Rootkit.TmpHider) -> No action taken.
    c:\WINDOWS\inf\oem7A.PNF (Rootkit.TmpHider) -> No action taken.
    c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
    c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
    c:\WINDOWS\system32\oobe\rule8\files\Base.inf (Worm.AutoRun) -> No action taken.
    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Acrobat Reader 9.4 или удалите старый

    Обновите базы AVZ

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    08.12.2010
    Сообщений
    3
    Вес репутации
    49
    вобщем, решил вспомнить студенческие времена и снёс к чертям систему. Установил снова+3й сервис пак, обновления и IE8. Пока полёт нормальный.

    Большое всем спасибо

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\serik\\application data\\oekx.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Siggen2.11070, BitDefender: Trojan.Generic.KDV.83251, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
      2. c:\\windows\\cfdrive32.exe - Trojan.Win32.VBKrypt.alag ( DrWEB: Trojan.AVKill.3385, BitDefender: Trojan.Generic.5258762, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) serikbay, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. cfdrive32.exe
      От REKOP в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.12.2010, 22:11
    2. cfdrive32
      От aavrs в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.11.2010, 00:07
    3. Вирусня, а ля cfdrive32.exe и компания
      От Baz1k в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 24.10.2010, 00:13
    4. Cfdrive32.exe и msvmiode.exe
      От ArchitectofRuin в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 20.09.2010, 21:36
    5. CFDRIVE32 и что-то еще...
      От regg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.09.2010, 16:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01585 seconds with 19 queries