-
Junior Member
- Вес репутации
- 49
ggdrive32.exe, acleaner.exe
Добрый вечер, прошу помощи. Завелась такая гадость, переустановка XP и форматирование системного диска результата не дали. Avast атаки и вирусные угрозы определяет, но не удаляет даже если сканировать до загрузки. Проверки с LIVE CD различными утилитами Kasper, Cureit тоже не помогли. Вирусы определялись и удалялись, файл acleaner.exe из корзины удалялся, но после перезагрузки все снова повторяется. Не загружаются интернет-страницы, появляются файлы типа 7.exe в папке system32 и т.д.
Заранее благодарен за помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добрый вечер
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\ggdrive32.exe');
QuarantineFile('C:\Documents and Settings\Администратор\serv.exe','');
QuarantineFile('F:\Apps\Autoinst.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Сделайте новые логи
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
в приложении лог malwarebytes и quaratine.zip (отправить по ссылке вверху темы не получилось, сайт выдает ошибку, что файл уже был отправлен...)
Последний раз редактировалось olejah; 18.02.2011 в 19:04.
Причина: карантин в теме неуместен!
-
Удалите в МВАМ
Код:
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced HTTPL Enable (Spyware.Passwords.XGen) -> Value: Advanced HTTPL Enable -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo.Gen) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo.Gen) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Spyware.Passwords.XGen) -> Value: Tnaww -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Autorun) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: (Explorer.exe) -> No action taken.
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\documents and settings\администратор\serv.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\ggdrive32.exe (Worm.Palevo.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Autorun) -> No action taken.
c:\xdx.exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\2VOJG7WH\m39[1].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\E93XAWCJ\m96[1].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\JS3FZLEU\udv[2].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\XBOPDPGC\udv[1].exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\администратор\ms.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\09IVWPAF\dq[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\09IVWPAF\serv8[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\M5IPQXYZ\udv[1].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\M5IPQXYZ\udv[2].exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\S7KZEH6Z\ms[1].exe (Worm.Palevo) -> No action taken.
c:\WINDOWS\system32\02.exe (Worm.Palevo.Gen) -> No action taken.
f:\system volume information\_restore{382b533e-0b4d-436b-aeb0-2fa3c2a56e20}\RP14\A0000570.exe (Trojan.Agent.CK) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Я так и сделал сразу после полной проверки и отправки предыдущего лога. Вот лог после выполнения "удаления". Пока полет нормальный, вирусов нет, спасибо большое за помощь!
-
Перезагрузитесь и повторите лог mbam.
Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
лог mbam прилагаю, вирусов не обнаружено. А вот файл avz_log.txt не создался...хотя скрипт выполнился успешно.
-
Чисто
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Если это не сделать, червяк вернется
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-