Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

ggdrive32.exe, acleaner.exe, xdx.exe. (заявка № 98325)

  1. #1
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25

    Thumbs up ggdrive32.exe, acleaner.exe, xdx.exe.

    Вечера доброго. Столкнулся с такой проблемой: перестали открываться страницы, не работает интернет.
    Нашел в корне диска файл xdx.exe, в папке recycler файл acleaner.exe, в папке windows ggdrive32.exe, в system32 файлы 25.exe, 53.exe, 55.exe и т.д., в папке пользователя serv.exe, ms.exe, db.exe, bnet.exe.
    Удалял, но они появляются снова. Покорнейше прошу помощи.
    Последний раз редактировалось Arverian; 18.02.2011 в 20:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Вечера доброго.

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\windows\ggdrive32.exe');  
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\WINDOWS\system32\25.exe','');
     QuarantineFile('C:\WINDOWS\system32\53.exe','');
     QuarantineFile('C:\WINDOWS\system32\55.exe','');
     QuarantineFile('C:\WINDOWS\system32\66.exe','');
     QuarantineFile('C:\WINDOWS\system32\68.exe','');
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\68.exe');
     DeleteFile('C:\WINDOWS\system32\66.exe');
     DeleteFile('C:\WINDOWS\system32\55.exe');
     DeleteFile('C:\WINDOWS\system32\53.exe');
     DeleteFile('C:\WINDOWS\system32\25.exe');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');      
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте новые логи + лог полного сканирования МВАМ

    Установите все новые обновления для Windows

  4. #3
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25
    Отправил архив. Прикрепляю логи.
    Скоро пришлю логи от малавара.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.
    - Отключитесь от сети.

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     TerminateProcessByName('c:\documents and settings\angel\ms.exe');
     TerminateProcessByName('c:\windows\ggdrive32.exe');
     QuarantineFile('C:\WINDOWS\system32\77.exe','');
     QuarantineFile('C:\WINDOWS\system32\40.exe','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
     QuarantineFile('Beep.sys','');
     QuarantineFile('c:\windows\ggdrive32.exe','');
     QuarantineFile('c:\documents and settings\angel\ms.exe','');
     DeleteFile('c:\windows\ggdrive32.exe');
     DeleteFile('c:\documents and settings\angel\ms.exe');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     BC_DeleteFile('C:\WINDOWS\ggdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     DeleteFile('C:\WINDOWS\system32\40.exe');
     BC_DeleteFile('C:\WINDOWS\system32\40.exe');
     DeleteFile('C:\WINDOWS\system32\77.exe');
     BC_DeleteFile('C:\WINDOWS\system32\77.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RemoteRegistry', 4);
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    Последний раз редактировалось миднайт; 18.02.2011 в 21:36.
    Paula rhei.
    Поддержать проект можно тут

  6. #5
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25
    Лог mbam.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Стоп. Вы выполняли мой скрипт или еще нет? Если нет, сообщите, я дополню его новыми данными.
    Paula rhei.
    Поддержать проект можно тут

  8. #7
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25
    Уже выполнил, но новые отчеты еще не создавал. Жду новых данных. Спасибо.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Давайте новые логи avz. На их основе и данных с mbam составим новый скрипт. Также не забудьте загрузить карантин.
    Paula rhei.
    Поддержать проект можно тут

  10. #9
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25
    Отправил карантин. Прикрепляю логи.

  11. #10
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25
    Не знаю, будет ли информация полезной: файлы serv.exe и ms.exe автоматически запускаются из командной строки.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Закройте/выгрузите все программы кроме AVZ

    - Отключите Антивирус и Файрвол.
    - Отключитесь от сети.

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     TerminateProcessByName('c:\windows\ggdrive32.exe');
     QuarantineFile('c:\xdx.exe','');
     QuarantineFile('C:\WINDOWS\system32\03.exe','');
     QuarantineFile('C:\WINDOWS\system32\24.exe','');
     QuarantineFile('c:\documents and settings\Angel\local settings\temporary internet files\Content.IE5\0TWDARIL\ms[1].exe','');
     QuarantineFile('joulfoks.sys','');
     QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\41A789YV\udv[1].exe','');
     DeleteFile('c:\documents and settings\Angel\local settings\temporary internet files\Content.IE5\0TWDARIL\ms[1].exe');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     BC_DeleteFile('C:\WINDOWS\ggdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     DeleteFile('C:\WINDOWS\system32\03.exe');
     BC_DeleteFile('C:\WINDOWS\system32\03.exe');
     DeleteFile('C:\WINDOWS\system32\24.exe');
     DeleteFile('c:\xdx.exe');
     DeleteFile('c:\WINDOWS\system32\36.exe');
     DeleteFile('c:\WINDOWS\system32\40.exe');
     DeleteFile('c:\WINDOWS\system32\77.exe');
     DeleteFile('c:\xdx.exe');
     BC_DeleteFile('C:\WINDOWS\system32\24.exe');
    DeleteFileMask('c:\documents and settings\Angel\local settings\temporary internet files\Content.IE5\', '*.*', true);
    DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\', '*.*', true);
    DeleteFileMask('c:\RECYCLER', '*.*', true);
    BC_ImportAll;
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
    ExecuteWizard('TSW',2,2,true);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  13. #12
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25
    Новые логи. Также отправил карантин.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Повторите лог mbam для контроля.
    Paula rhei.
    Поддержать проект можно тут

  15. #14
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25
    Скоро лог будет, но все эти файлы снова появились.

  16. #15
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    А Вы это сделали? -
    Цитата Сообщение от Olejah Посмотреть сообщение
    Установите все новые обновления для Windows

  17. #16
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25
    Вроде, установил.
    Друзья, сейчас поступлю так: поставлю заново систему, форматнув один винт, почищу другой винт. Затем снова приду с логами, если эта напасть снова появится.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Цитата Сообщение от Arverian Посмотреть сообщение
    Вроде, установил.
    Если бы установили, сетевой червяк не вернулся бы

    Пока не торопитесь переустанавливать. Сделайте только лог МВАМ новый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25
    Собственно, mbam.
    P.S. Пакеты установлены.

  20. #19
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Удалите в МВАМ -

    Код:
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo.Gen) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo.Gen) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.AutoRun.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
    
    Заражённые файлы:
    c:\WINDOWS\ggdrive32.exe (Worm.Palevo.Gen) -> No action taken.
    c:\documents and settings\Angel\ms.exe (Worm.Palevo) -> No action taken.
    c:\documents and settings\Angel\local settings\temporary internet files\Content.IE5\UQC7JJKK\ms[1].exe (Worm.Palevo) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\CQNK20CY\m39[1].exe (Worm.Palevo.Gen) -> No action taken.
    c:\WINDOWS\system32\25.exe (Worm.Palevo.Gen) -> No action taken.
    c:\xdx.exe (Worm.Palevo) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
    - Повторите лог МВАМ

  21. #20
    Junior Member Репутация
    Регистрация
    18.02.2011
    Сообщений
    12
    Вес репутации
    25
    Еще логи. Кажется, борьба дает плоды.

  • Уважаемый(ая) Arverian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. acleaner.exe
      От av dm в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 26.06.2011, 07:00
    2. acleaner.exe
      От Kot2710 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.06.2011, 09:28
    3. остатки вируса acleaner
      От Romakont в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 03.06.2011, 12:18
    4. acleaner.exe
      От klin_ в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.05.2011, 07:17
    5. ggdrive32.exe, acleaner.exe
      От elvis37 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.02.2011, 23:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00602 seconds with 16 queries