Показано с 1 по 12 из 12.

Вирус gwdrive32 одалел (заявка № 94526)

  1. #1
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    21
    Вес репутации
    28

    Thumbs up Вирус gwdrive32 одалел

    Здравствуйте! Помогите пожалуйста не могу избавится от вируса gwdrive32. заранее очень благодарен!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,542
    Вес репутации
    3021
    Выполните правила
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    21
    Вес репутации
    28
    Вот логи

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\mob11[1].exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\f4444[1].exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\FI1FW3KQ\m1863[1].exe','');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\FI1FW3KQ\m1863[1].exe');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\f4444[1].exe');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\mob11[1].exe');
     QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\86.exe','');
     QuarantineFile('C:\WINDOWS\system32\80.exe','');
     QuarantineFile('C:\WINDOWS\system32\76.exe','');
     QuarantineFile('C:\WINDOWS\system32\73.exe','');
     QuarantineFile('C:\WINDOWS\system32\70.exe','');
     QuarantineFile('C:\WINDOWS\system32\67.scr','');
     QuarantineFile('C:\WINDOWS\system32\64.exe','');
     QuarantineFile('C:\WINDOWS\system32\58.exe','');
     QuarantineFile('C:\WINDOWS\system32\55.exe','');
     QuarantineFile('C:\WINDOWS\system32\53.exe','');
     QuarantineFile('C:\WINDOWS\system32\48.exe','');
     QuarantineFile('C:\WINDOWS\system32\42.exe','');
     QuarantineFile('C:\WINDOWS\system32\33.exe','');
     QuarantineFile('C:\WINDOWS\system32\26.exe','');
     QuarantineFile('C:\WINDOWS\system32\23.exe','');
     QuarantineFile('C:\WINDOWS\system32\20.exe','');
     QuarantineFile('C:\WINDOWS\system32\17.exe','');
     QuarantineFile('C:\WINDOWS\system32\14.exe','');
     QuarantineFile('C:\WINDOWS\system32\13.exe','');
      QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
     QuarantineFile('C:\WINDOWS\system32\XDva372.sys','');
     DeleteService('XDva372');
     QuarantineFile('c:\windows\gwdrive32.exe','');
     TerminateProcessByName('c:\windows\gwdrive32.exe');
     DeleteFile('c:\windows\gwdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\XDva372.sys');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\13.exe');
     DeleteFile('C:\WINDOWS\system32\14.exe');
     DeleteFile('C:\WINDOWS\system32\17.exe');
     DeleteFile('C:\WINDOWS\system32\20.exe');
     DeleteFile('C:\WINDOWS\system32\23.exe');
     DeleteFile('C:\WINDOWS\system32\26.exe');
     DeleteFile('C:\WINDOWS\system32\33.exe');
     DeleteFile('C:\WINDOWS\system32\42.exe');
     DeleteFile('C:\WINDOWS\system32\48.exe');
     DeleteFile('C:\WINDOWS\system32\53.exe');
     DeleteFile('C:\WINDOWS\system32\55.exe');
     DeleteFile('C:\WINDOWS\system32\58.exe');
     DeleteFile('C:\WINDOWS\system32\64.exe');
     DeleteFile('C:\WINDOWS\system32\67.scr');
     DeleteFile('C:\WINDOWS\system32\70.exe');
     DeleteFile('C:\WINDOWS\system32\73.exe');
     DeleteFile('C:\WINDOWS\system32\76.exe');
     DeleteFile('C:\WINDOWS\system32\80.exe');
     DeleteFile('C:\WINDOWS\system32\86.exe');
     DeleteFile('C:\WINDOWS\gwdrive32.exe'); 
    QuarantineFile('C:\RECYCLER\S-1-5-21-3823322541-8147737992-468946901-1850\csisf.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-3823322541-8147737992-468946901-1850\csisf.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0688559209-9811160492-716760633-0834\csisf.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0688559209-9811160492-716760633-0834\csisf.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1448121589-3679239404-146999796-5789\csisf.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1448121589-3679239404-146999796-5789\csisf.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8662357795-1048158749-435042300-5940\csisf.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-8662357795-1048158749-435042300-5940\csisf.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-4501701730-8648501324-233412361-1875\csisf.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-4501701730-8648501324-233412361-1875\csisf.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-7834464626-9147740246-583675223-2205\csisf.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-7834464626-9147740246-583675223-2205\csisf.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    21
    Вес репутации
    28
    вот результаты проверки

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - удалите в MBAM
    Код:
    Заражённые файлы:
    c:\documents and settings\администратор\application data\ltzqai.exe (Trojan.Agent) -> No action taken.
    c:\RECYCLER\s-1-5-21-3823322541-8147737992-468946901-1850\csisf.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\15.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\35.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\66.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\83.exe (Trojan.Agent) -> No action taken.
    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

    После обновления:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  8. #7
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    21
    Вес репутации
    28
    вот лог

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    В логе чисто.Что с проблемой?

  10. #9
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    21
    Вес репутации
    28
    Все замечательно! Безумно благодарен вам! Спасибо огромное!!!!

  11. #10
    Junior Member Репутация
    Регистрация
    14.07.2010
    Сообщений
    21
    Вес репутации
    28
    Похоже червь опять вернулся!

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,133
    Вес репутации
    929
    Раз создали новую тему, продолжим в ней

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 97
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администратор\\application data\\ltzqai.exe - Trojan.Win32.Pincav.autp ( DrWEB: Trojan.Packed.21319, BitDefender: Trojan.Generic.KD.99923, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Dropper-ETN [Drp] )
      2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1417\\systm.exe - Trojan.Win32.Scar.diyy ( DrWEB: Trojan.Packed.21319, BitDefender: Trojan.Generic.KD.99923, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Dropper-ETN [Drp] )
      3. c:\\recycler\\s-1-5-21-0688559209-9811160492-716760633-0834\\csisf.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      4. c:\\recycler\\s-1-5-21-1448121589-3679239404-146999796-5789\\csisf.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      5. c:\\recycler\\s-1-5-21-3823322541-8147737992-468946901-1850\\csisf.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      6. c:\\recycler\\s-1-5-21-8662357795-1048158749-435042300-5940\\csisf.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      7. c:\\windows\\gwdrive32.exe - Net-Worm.Win32.Kolab.qpi ( DrWEB: Trojan.Packed.21319, BitDefender: Trojan.Generic.KD.99923, NOD32: IRC/SdBot trojan, AVAST4: Win32:Dropper-ETN [Drp] )
      8. c:\\windows\\system32\\13.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      9. c:\\windows\\system32\\14.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      10. c:\\windows\\system32\\17.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      11. c:\\windows\\system32\\20.exe - P2P-Worm.Win32.Palevo.bkrg ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )
      12. c:\\windows\\system32\\23.exe - P2P-Worm.Win32.Palevo.bkrg ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )
      13. c:\\windows\\system32\\26.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      14. c:\\windows\\system32\\33.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      15. c:\\windows\\system32\\42.exe - P2P-Worm.Win32.Palevo.bknb ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )
      16. c:\\windows\\system32\\48.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      17. c:\\windows\\system32\\53.exe - P2P-Worm.Win32.Palevo.bkrg ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )
      18. c:\\windows\\system32\\55.exe - P2P-Worm.Win32.Palevo.bkrg ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )
      19. c:\\windows\\system32\\58.exe - P2P-Worm.Win32.Palevo.bkrg ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )
      20. c:\\windows\\system32\\64.exe - P2P-Worm.Win32.Palevo.bknb ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )
      21. c:\\windows\\system32\\67.scr - Net-Worm.Win32.Kolab.qmj ( BitDefender: Trojan.Generic.5571022, AVAST4: Win32:Trojan-gen )
      22. c:\\windows\\system32\\70.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      23. c:\\windows\\system32\\73.exe - P2P-Worm.Win32.Palevo.bknb ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )
      24. c:\\windows\\system32\\76.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
      25. c:\\windows\\system32\\80.exe - P2P-Worm.Win32.Palevo.bknb ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )
      26. c:\\windows\\system32\\86.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Vip-anton, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите вирус одалел Relevant Knowledge
      От Stas157 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.11.2011, 16:50
    2. Вирус одалел...
      От SayrusVirus в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.06.2011, 06:55
    3. gwdrive32.exe
      От Duxa_sk8 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 07.03.2011, 00:09
    4. Все тот же вирус gwdrive32.exe
      От ZAR78 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 09.01.2011, 13:54
    5. Вирус gwdrive32 и его производные (клоны)
      От bars_odessa в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.01.2011, 21:18

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00044 seconds with 16 queries