Показано с 1 по 9 из 9.

ggdrive32.exe, acleaner.exe (заявка № 98301)

  1. #1
    Junior Member Репутация
    Регистрация
    17.02.2011
    Сообщений
    4
    Вес репутации
    26

    Thumbs up ggdrive32.exe, acleaner.exe

    Добрый вечер, прошу помощи. Завелась такая гадость, переустановка XP и форматирование системного диска результата не дали. Avast атаки и вирусные угрозы определяет, но не удаляет даже если сканировать до загрузки. Проверки с LIVE CD различными утилитами Kasper, Cureit тоже не помогли. Вирусы определялись и удалялись, файл acleaner.exe из корзины удалялся, но после перезагрузки все снова повторяется. Не загружаются интернет-страницы, появляются файлы типа 7.exe в папке system32 и т.д.
    Заранее благодарен за помощь!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Добрый вечер

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\ggdrive32.exe');  
     QuarantineFile('C:\Documents and Settings\Администратор\serv.exe','');
     QuarantineFile('F:\Apps\Autoinst.exe','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\WINDOWS\system32\07.exe','');
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\07.exe');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Сделайте новые логи

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,563
    Вес репутации
    3022
    А также

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    17.02.2011
    Сообщений
    4
    Вес репутации
    26
    в приложении лог malwarebytes и quaratine.zip (отправить по ссылке вверху темы не получилось, сайт выдает ошибку, что файл уже был отправлен...)
    Последний раз редактировалось olejah; 18.02.2011 в 19:04. Причина: карантин в теме неуместен!

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,563
    Вес репутации
    3022
    Удалите в МВАМ
    Код:
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced HTTPL Enable (Spyware.Passwords.XGen) -> Value: Advanced HTTPL Enable -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo.Gen) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo.Gen) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Spyware.Passwords.XGen) -> Value: Tnaww -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Autorun) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: (Explorer.exe) -> No action taken.
    
    Заражённые папки:
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\администратор\serv.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\WINDOWS\ggdrive32.exe (Worm.Palevo.Gen) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Autorun) -> No action taken.
    c:\xdx.exe (Trojan.Autorun) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\2VOJG7WH\m39[1].exe (Worm.Palevo.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\E93XAWCJ\m96[1].exe (Worm.Palevo.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\JS3FZLEU\udv[2].exe (Worm.Palevo.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\XBOPDPGC\udv[1].exe (Trojan.Autorun) -> No action taken.
    c:\documents and settings\администратор\ms.exe (Worm.Palevo) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\09IVWPAF\dq[1].exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\09IVWPAF\serv8[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\M5IPQXYZ\udv[1].exe (Worm.Palevo.Gen) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\M5IPQXYZ\udv[2].exe (Trojan.Autorun) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\S7KZEH6Z\ms[1].exe (Worm.Palevo) -> No action taken.
    c:\WINDOWS\system32\02.exe (Worm.Palevo.Gen) -> No action taken.
    f:\system volume information\_restore{382b533e-0b4d-436b-aeb0-2fa3c2a56e20}\RP14\A0000570.exe (Trojan.Agent.CK) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    17.02.2011
    Сообщений
    4
    Вес репутации
    26
    Я так и сделал сразу после полной проверки и отправки предыдущего лога. Вот лог после выполнения "удаления". Пока полет нормальный, вирусов нет, спасибо большое за помощь!

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Перезагрузитесь и повторите лог mbam.
    Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
    Paula rhei.
    Поддержать проект можно тут

  9. #8
    Junior Member Репутация
    Регистрация
    17.02.2011
    Сообщений
    4
    Вес репутации
    26
    лог mbam прилагаю, вирусов не обнаружено. А вот файл avz_log.txt не создался...хотя скрипт выполнился успешно.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,563
    Вес репутации
    3022
    Чисто

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows

    Если это не сделать, червяк вернется
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) elvis37, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. acleaner.exe
      От av dm в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 26.06.2011, 07:00
    2. acleaner.exe
      От Kot2710 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.06.2011, 09:28
    3. остатки вируса acleaner
      От Romakont в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 03.06.2011, 12:18
    4. acleaner.exe
      От klin_ в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.05.2011, 07:17
    5. ggdrive32.exe, acleaner.exe, xdx.exe.
      От Arverian в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 21.02.2011, 02:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00546 seconds with 16 queries