Здравствуйте! Помогите пожалуйста не могу избавится от вируса gwdrive32. заранее очень благодарен!
Здравствуйте! Помогите пожалуйста не могу избавится от вируса gwdrive32. заранее очень благодарен!
Выполните правила
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот логи
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\mob11[1].exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\f4444[1].exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\FI1FW3KQ\m1863[1].exe',''); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\FI1FW3KQ\m1863[1].exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\f4444[1].exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LCYJR1UN\mob11[1].exe'); QuarantineFile('C:\WINDOWS\gwdrive32.exe',''); QuarantineFile('C:\WINDOWS\system32\86.exe',''); QuarantineFile('C:\WINDOWS\system32\80.exe',''); QuarantineFile('C:\WINDOWS\system32\76.exe',''); QuarantineFile('C:\WINDOWS\system32\73.exe',''); QuarantineFile('C:\WINDOWS\system32\70.exe',''); QuarantineFile('C:\WINDOWS\system32\67.scr',''); QuarantineFile('C:\WINDOWS\system32\64.exe',''); QuarantineFile('C:\WINDOWS\system32\58.exe',''); QuarantineFile('C:\WINDOWS\system32\55.exe',''); QuarantineFile('C:\WINDOWS\system32\53.exe',''); QuarantineFile('C:\WINDOWS\system32\48.exe',''); QuarantineFile('C:\WINDOWS\system32\42.exe',''); QuarantineFile('C:\WINDOWS\system32\33.exe',''); QuarantineFile('C:\WINDOWS\system32\26.exe',''); QuarantineFile('C:\WINDOWS\system32\23.exe',''); QuarantineFile('C:\WINDOWS\system32\20.exe',''); QuarantineFile('C:\WINDOWS\system32\17.exe',''); QuarantineFile('C:\WINDOWS\system32\14.exe',''); QuarantineFile('C:\WINDOWS\system32\13.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe',''); QuarantineFile('C:\WINDOWS\system32\XDva372.sys',''); DeleteService('XDva372'); QuarantineFile('c:\windows\gwdrive32.exe',''); TerminateProcessByName('c:\windows\gwdrive32.exe'); DeleteFile('c:\windows\gwdrive32.exe'); DeleteFile('C:\WINDOWS\system32\XDva372.sys'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\13.exe'); DeleteFile('C:\WINDOWS\system32\14.exe'); DeleteFile('C:\WINDOWS\system32\17.exe'); DeleteFile('C:\WINDOWS\system32\20.exe'); DeleteFile('C:\WINDOWS\system32\23.exe'); DeleteFile('C:\WINDOWS\system32\26.exe'); DeleteFile('C:\WINDOWS\system32\33.exe'); DeleteFile('C:\WINDOWS\system32\42.exe'); DeleteFile('C:\WINDOWS\system32\48.exe'); DeleteFile('C:\WINDOWS\system32\53.exe'); DeleteFile('C:\WINDOWS\system32\55.exe'); DeleteFile('C:\WINDOWS\system32\58.exe'); DeleteFile('C:\WINDOWS\system32\64.exe'); DeleteFile('C:\WINDOWS\system32\67.scr'); DeleteFile('C:\WINDOWS\system32\70.exe'); DeleteFile('C:\WINDOWS\system32\73.exe'); DeleteFile('C:\WINDOWS\system32\76.exe'); DeleteFile('C:\WINDOWS\system32\80.exe'); DeleteFile('C:\WINDOWS\system32\86.exe'); DeleteFile('C:\WINDOWS\gwdrive32.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-3823322541-8147737992-468946901-1850\csisf.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-3823322541-8147737992-468946901-1850\csisf.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0688559209-9811160492-716760633-0834\csisf.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0688559209-9811160492-716760633-0834\csisf.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-1448121589-3679239404-146999796-5789\csisf.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1448121589-3679239404-146999796-5789\csisf.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-8662357795-1048158749-435042300-5940\csisf.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-8662357795-1048158749-435042300-5940\csisf.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-4501701730-8648501324-233412361-1875\csisf.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-4501701730-8648501324-233412361-1875\csisf.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe'); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-7834464626-9147740246-583675223-2205\csisf.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-7834464626-9147740246-583675223-2205\csisf.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
вот результаты проверки
- удалите в MBAM
Обновите системуКод:Заражённые файлы: c:\documents and settings\администратор\application data\ltzqai.exe (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-3823322541-8147737992-468946901-1850\csisf.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\15.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\35.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\66.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\83.exe (Trojan.Agent) -> No action taken.
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Сделайте повторный лог virusinfo_syscheck.zip;
вот лог
В логе чисто.Что с проблемой?
Все замечательно! Безумно благодарен вам! Спасибо огромное!!!!
Похоже червь опять вернулся!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 97
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\ltzqai.exe - Trojan.Win32.Pincav.autp ( DrWEB: Trojan.Packed.21319, BitDefender: Trojan.Generic.KD.99923, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Dropper-ETN [Drp] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1417\\systm.exe - Trojan.Win32.Scar.diyy ( DrWEB: Trojan.Packed.21319, BitDefender: Trojan.Generic.KD.99923, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Dropper-ETN [Drp] )
- c:\\recycler\\s-1-5-21-0688559209-9811160492-716760633-0834\\csisf.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-1448121589-3679239404-146999796-5789\\csisf.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-3823322541-8147737992-468946901-1850\\csisf.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-8662357795-1048158749-435042300-5940\\csisf.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\gwdrive32.exe - Net-Worm.Win32.Kolab.qpi ( DrWEB: Trojan.Packed.21319, BitDefender: Trojan.Generic.KD.99923, NOD32: IRC/SdBot trojan, AVAST4: Win32:Dropper-ETN [Drp] )
- c:\\windows\\system32\\13.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\14.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\17.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\20.exe - P2P-Worm.Win32.Palevo.bkrg ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\23.exe - P2P-Worm.Win32.Palevo.bkrg ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\26.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\33.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\42.exe - P2P-Worm.Win32.Palevo.bknb ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\48.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\53.exe - P2P-Worm.Win32.Palevo.bkrg ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\55.exe - P2P-Worm.Win32.Palevo.bkrg ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\58.exe - P2P-Worm.Win32.Palevo.bkrg ( DrWEB: Trojan.Inject.18822, BitDefender: Trojan.Generic.KD.99116, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\64.exe - P2P-Worm.Win32.Palevo.bknb ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\67.scr - Net-Worm.Win32.Kolab.qmj ( BitDefender: Trojan.Generic.5571022, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\70.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\73.exe - P2P-Worm.Win32.Palevo.bknb ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\76.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\80.exe - P2P-Worm.Win32.Palevo.bknb ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KD.97939, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\86.exe - P2P-Worm.Win32.Palevo.bkyl ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.100735, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Vip-anton, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.