Показано с 1 по 13 из 13.

Процесс ggdrive32.exe (заявка № 98163)

  1. #1
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    6
    Вес репутации
    25

    Thumbs up Процесс ggdrive32.exe

    Блокирует выход в интернет,вроде все его корни удаляю в реестре и на диске,но с каждой перезагрузкой появляется заново.

    Вложение 299309
    Вложение 299310
    Вложение 299311
    Последний раз редактировалось DmitriyK90; 15.02.2011 в 02:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\ggdrive32.exe');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
     QuarantineFile('c:\windows\ggdrive32.exe','');
     DeleteFile('c:\windows\ggdrive32.exe');
     BC_DeleteFile('c:\windows\ggdrive32.exe');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     BC_DeleteFile('C:\WINDOWS\ggdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  4. #3

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Чисто.
    Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
    Paula rhei.
    Поддержать проект можно тут

  6. #5
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    6
    Вес репутации
    25
    Около часа назад процесс опять появился.

    Вложение 299448

    Вложение 299449

    Вложение 299450

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\ggdrive32.exe');
     QuarantineFile('C:\WINDOWS\system32\02.exe','');
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
    QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Temporary Internet Files\Content.IE5\UH6JWVUX\udv[1].exe
    ','');
    DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Set-tings\Temporary Internet Files\Content.IE5\UH6JWVUX\udv[1].exe
    ');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\02.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    6
    Вес репутации
    25
    Вложение 299506

    Вложение 299507

    Вложение 299508

    лог полного сканирования МВАМ
    Вложение 299509

    Все было сделано при отключении интернета,но как только включил,чтобы зайти сюда и отправить логи,Nod32 сразу блокирует атаки:
    16.02.2011 3:00:28 Real-time file system protection file
    C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
    16.02.2011 3:00:28 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to run the file by the application: C:\WINDOWS\Explorer.EXE.
    16.02.2011 3:00:28 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to run the file by the application: C:\WINDOWS\Explorer.EXE.
    16.02.2011 3:00:25 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\dq.exe a variant of Win32/Injector.EOG trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
    16.02.2011 3:00:25 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\Local Settings\Temporary Internet Files\Content.IE5\GGTLP4E1\serv8[1].exe Win32/TrojanProxy.Ranky trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
    16.02.2011 3:00:21 HTTP filter file one.natnatraoi.com/serv8.exe Win32/TrojanProxy.Ranky trojan connection terminated - quarantined 08AE6569528448A\Дмитрий
    16.02.2011 3:00:21 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\Local Settings\Temporary Internet Files\Content.IE5\GGTLP4E1\dq[1].exe a variant of Win32/Injector.EOG trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
    16.02.2011 3:00:18 HTTP filter file one.natnatraoi.com/dq.exe a variant of Win32/Injector.EOG trojan connection terminated - quarantined 08AE6569528448A\Дмитрий
    16.02.2011 3:00:05 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\ms.exe IRC/SdBot trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
    16.02.2011 3:00:05 Real-time file system protection file C:\Documents and Settings\Дмитрий.08AE6569528448A\Local Settings\Temporary Internet Files\Content.IE5\YH0AB34N\ms[1].exe IRC/SdBot trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
    16.02.2011 2:59:57 HTTP filter file two.natnatraoi.com/ms.exe IRC/SdBot trojan connection terminated - quarantined 08AE6569528448A\Дмитрий

    И если я все понял,то в логах данная информация будет отсутствовать..

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите Антивирус и Файрвол.
    - Отключитесь от сети.

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\4FIX85GR\q96[1].exe','');
    QuarantineFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\GXID6PSD\m96[1].exe','');
    QuarantineFile('c:\WINDOWS\system32\vfp8rrus.dll','');
    QuarantineFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe','');
    QuarantineFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\dq.exe ','');
    QuarantineFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\ms.exe','');
    QuarantineFile('d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121663.exe ','');
    DeleteFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\4FIX85GR\q96[1].exe');
    DeleteFile('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\GXID6PSD\m96[1].exe');
    DeleteFile('d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121663.exe ');
     QuarantineFile('C:\WINDOWS\system32\13.exe','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     DeleteFile('C:\WINDOWS\system32\13.exe');
     DeleteFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\dq.exe ');
     DeleteFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\ms.exe');
     DeleteFile('C:\Documents and Settings\Дмитрий.08AE6569528448A\serv.exe');
     BC_DeleteFile('C:\WINDOWS\system32\13.exe');
    DeleteFileMask('c:\RECYCLER\', '*.*', true);
    DeleteFileMask('c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5', '*.*', true);
    QuarantineFileF('%system32%', '??.exe', false,'', 0, 0, '1.02.2011', '16.02.2011');
    QuarantineFileF('C:\Documents and Settings\Дмитрий.08AE6569528448A\', '*.exe', false,'', 0, 0, '1.02.2011', '16.02.2011');
    BC_ImportAll;
    ExecuteSysClean;
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

    В MBAM удалите (некоторых строк может не быть)

    Код:
    Заражённые ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.AutoRun.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
    
    Заражённые папки:
    c:\program files\microsoft common (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
    c:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\4FIX85GR\q96[1].exe (Worm.Palevo) -> No action taken.
    c:\documents and settings\networkservice.nt authority.000\local settings\temporary internet files\Content.IE5\GXID6PSD\m96[1].exe (Trojan.Autorun) -> No action taken.
    d:\avz4\avz4\quarantine\2011-02-15\avz00001.dta (Trojan.Autorun) -> No action taken.
    d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121663.exe (Malware.Packer.Gen) -> No action taken.
    d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0121670.exe (Malware.Packer.Gen) -> No action taken.
    d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP196\A0122040.exe (Trojan.Downloader) -> No action taken.
    d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128180.exe (Malware.Packer.Gen) -> No action taken.
    d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128186.exe (Malware.Packer.Gen) -> No action taken.
    d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128210.exe (Malware.Packer.Gen) -> No action taken.
    d:\system volume information\_restore{9c0373a4-9009-4050-a067-31eb106591da}\RP205\A0128211.exe (Malware.Packer.Gen) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
    Подключите сеть. Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    А также

    Internet Explorer так и не обновили
    А обновления после SP3 тоже вряд ли поставили?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    6
    Вес репутации
    25
    Вложение 299629

    Вложение 299630

    Вложение 299631

    Поставил и обновления после sp3 и обновил IE

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Плохого не видно. Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    15.02.2011
    Сообщений
    6
    Вес репутации
    25
    Да,огромное спасибо!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 55
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\networkservice.nt authority.000\\local settings\\temporary internet files\\content.ie5\\4fix85gr\\q96[1].exe - Trojan.Win32.Inject.bamn ( DrWEB: Trojan.Packed.21428, BitDefender: Trojan.Generic.5737711, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )
      2. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Trojan.Win32.Inject.baow ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5533377, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Crypt-INP [Trj] )
      3. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Worm.Win32.Bybz.dzw ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.132358, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Kolab-IK [Drp] )
      4. c:\\windows\\ggdrive32.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      5. c:\\windows\\ggdrive32.exe - Trojan.Win32.Inject.bamn ( DrWEB: Trojan.Packed.21428, BitDefender: Trojan.Generic.5737711, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )
      6. c:\\windows\\system32\\27.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      7. c:\\windows\\system32\\57.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      8. c:\\windows\\system32\\70.exe - Net-Worm.Win32.Kolab.tvv ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5457452, NOD32: IRC/SdBot trojan, AVAST4: Win32:Kolab-IK [Drp] )
      9. c:\\xdx.exe - Trojan.Win32.Inject.baow ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.5533377, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Crypt-INP [Trj] )


  • Уважаемый(ая) DmitriyK90, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Процесс ggdrive32.exe тормозит нэт
      От Intel в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.02.2011, 19:36
    2. ggdrive32.exe
      От Liymara в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.02.2011, 16:20
    3. ggdrive32.exe
      От berserkerr в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 31.01.2011, 02:29
    4. ggdrive32
      От ThyQ в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 21.01.2011, 22:47
    5. Ответов: 2
      Последнее сообщение: 01.04.2010, 16:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01262 seconds with 16 queries