Показано с 1 по 18 из 18.

gwdrive32 беспокоит (заявка № 94565)

  1. #1
    Junior Member Репутация
    Регистрация
    05.01.2011
    Сообщений
    11
    Вес репутации
    26

    Exclamation gwdrive32 беспокоит

    Пытался избавится различными способами(разные антивирусы, утилиты), но безуспешно. Поэтому прошу вас о помощи. Данный вирус спокойно удаляется любым антивирусом при отключении ПК от интернета\сети. Но стоит только подключится к интернету, как сразу этот процесс(gwdrive32.exe) появляется в списке процессов и периодически создается множество цифровых ехе-ов(например, 4334.exe, 4444.exe и т.д.). При активном соединении с интернетом\сетью вирус удалить невозможно ни из системы, ни из процессов(если удалить - появляется снова). Периодически появляются и выявляются антивирусом подобные вирусы: oekx, msvmiode, lsdelete, ltzqai, cfdrive32, cwdrive32, wuaucldt, psysnew, rundll32(возможно перечислил не все.). При долгой работе компьютера и последующей проверке антивирусом, антивирус обнаруживает более сотни цифровых ехе-файлов! Вложения, согласно правилам, прикрепил.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    procedure WhatService(AServiceName : string);
      var
       dllname, servicekey : string;
      begin
       servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
       RegKeyResetSecurity( 'HKLM', servicekey);
       RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
       AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
       AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
       AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
       dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
       AddToLog('ServiceDll: '+dllname);
       QuarantineFile(dllname,'');
      end;
     begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      QuarantineFile('C:\Documents and Settings\Admin\Application Data\oekx.exe','');
      DeleteFile('C:\Documents and Settings\Admin\Application Data\oekx.exe');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
      DeleteFile('C:\WINDOWS\gwdrive32.exe'); 
      QuarantineFile('C:\RECYCLER\S-1-5-21-4338694261-3417564002-990251978-5598\csisf.exe','');
      DeleteFile('C:\RECYCLER\S-1-5-21-4338694261-3417564002-990251978-5598\csisf.exe');
      WhatService('bvpebbeoq');
      WhatService('mwmlucztf');
      WhatService('pvcyw');
      WhatService('wisdqw');
      BC_ImportAll;
      ExecuteSysClean;
      ExecuteRepair(11);
      BC_Activate;
      SaveLog(GetAVZDirectory+'wisdqw.log');
      RebootWindows(true);
     end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - файл wisdqw.log прикрепите к сообщению
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    05.01.2011
    Сообщений
    11
    Вес репутации
    26
    Выполнил
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1.Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('c:\documents and settings\Admin\application data\oekx.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\bvpebbeoq\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\mwmlucztf\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\pvcyw\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wisdqw\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\system32\dkxgwch.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_DeleteSvcReg('bvpebbeoq');
     BC_DeleteSvcReg('mwmlucztf');
     BC_DeleteSvcReg('pvcyw');
     BC_DeleteSvcReg('wisdqw');
     BC_DeleteFile('C:\WINDOWS\system32\dkxgwch.dll');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  6. #5
    Junior Member Репутация
    Регистрация
    05.01.2011
    Сообщений
    11
    Вес репутации
    26
    Выкладываю
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    05.01.2011
    Сообщений
    11
    Вес репутации
    26
    Выкладываю лог ComboFix... вирус по прежнему висит в процессах при подключении к интернету, антивирус ругается намного меньше, однако периодически при новом подключении к интернету ловит по 1-2 ехе-файла. Сейчас пойманы следущие:
    1. В файле 'C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\XXM4DFMS\lmq[1].exe'
    был обнаружен вирус или вредоносная программа 'TR/Dldr.Murlo.jed' [trojan].
    2. В файле 'C:\Documents and Settings\Admin\Local Settings\temp\649.exe'
    был обнаружен вирус или вредоносная программа 'TR/Dldr.Murlo.jed' [trojan].

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    1. c:\windows\System32\wuauclt.exe восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    2. Выполните скрипт в AVZ
    Код:
    begin
    RegKeyParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost', 'DcomLaunch', 'REG_MULTI_SZ', 'DcomLaunch'#0'TermService');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    3. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    btevawpzw
    wisdqw
    pvcyw
    mwmlucztf
    bvpebbeoq
    
    NetSvc::
    btevawpzw
    wisdqw
    pvcyw
    mwmlucztf
    bvpebbeoq
    
    Folder::
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4476:TCP"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    4. Систему нужно срочно обновлять
    Установите SP3 (может потребоваться активация) + все новые обновления для Windows

    5. Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    05.01.2011
    Сообщений
    11
    Вес репутации
    26
    Выполнил

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    выполните предписания из этого сообщения строго по пунктам, начиная с пункта №3 (не забыв перед логом MBAM - сделать обновления системы)

  12. #11
    Junior Member Репутация
    Регистрация
    05.01.2011
    Сообщений
    11
    Вес репутации
    26
    Выполнил, система обновлена. Выкладываю логи.

  13. #12
    Junior Member Репутация
    Регистрация
    05.01.2011
    Сообщений
    11
    Вес репутации
    26
    Как я понимаю, теперь вся проблема решена? Или необходимо еще что-то сделать?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - выполните такой скрипт
    Код:
    begin
      DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('c:\windows\regedit.exe','');
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    что с проблемами?

  15. #14
    Junior Member Репутация
    Регистрация
    05.01.2011
    Сообщений
    11
    Вес репутации
    26
    Цитата Сообщение от polword Посмотреть сообщение
    - выполните такой скрипт
    Код:
    begin
      DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('c:\windows\regedit.exe','');
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    что с проблемами?
    Пишет, что такой файл уже загружен.. Выкладываю во вложения.
    Проблема вроде устранена, антивирус не фиксирует вирусной активности, в процессах вирус не появляется. Спасибо за помощь.
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527

  17. #16
    Junior Member Репутация
    Регистрация
    05.01.2011
    Сообщений
    11
    Вес репутации
    26
    Выполнил Будут ли еще указания?

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Ничего больше не нужно. На выписку
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\application data\\oekx.exe - Trojan.Win32.Pincav.auwi ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.100884, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) jeoletty, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. gwdrive32.exe
      От Duxa_sk8 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 07.03.2011, 00:09
    2. Все тот же вирус gwdrive32.exe
      От ZAR78 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 09.01.2011, 13:54
    3. Беспокоит userinit.exe
      От Lebetski в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.06.2010, 13:44
    4. беспокоит вирус
      От pussylovecat в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.11.2009, 00:29
    5. Беспокоит Explorer
      От Dancer в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.12.2008, 16:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01645 seconds with 17 queries