-
Junior Member
- Вес репутации
- 49
ggdrive32.exe, acleaner.exe, xdx.exe.
Вечера доброго. Столкнулся с такой проблемой: перестали открываться страницы, не работает интернет.
Нашел в корне диска файл xdx.exe, в папке recycler файл acleaner.exe, в папке windows ggdrive32.exe, в system32 файлы 25.exe, 53.exe, 55.exe и т.д., в папке пользователя serv.exe, ms.exe, db.exe, bnet.exe.
Удалял, но они появляются снова. Покорнейше прошу помощи.
Последний раз редактировалось Arverian; 18.02.2011 в 20:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вечера доброго.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\ggdrive32.exe');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\system32\25.exe','');
QuarantineFile('C:\WINDOWS\system32\53.exe','');
QuarantineFile('C:\WINDOWS\system32\55.exe','');
QuarantineFile('C:\WINDOWS\system32\66.exe','');
QuarantineFile('C:\WINDOWS\system32\68.exe','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\66.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте новые логи + лог полного сканирования МВАМ
Установите все новые обновления для Windows
-
-
Junior Member
- Вес репутации
- 49
Отправил архив. Прикрепляю логи.
Скоро пришлю логи от малавара.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
- Отключитесь от сети.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\angel\ms.exe');
TerminateProcessByName('c:\windows\ggdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\77.exe','');
QuarantineFile('C:\WINDOWS\system32\40.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('Beep.sys','');
QuarantineFile('c:\windows\ggdrive32.exe','');
QuarantineFile('c:\documents and settings\angel\ms.exe','');
DeleteFile('c:\windows\ggdrive32.exe');
DeleteFile('c:\documents and settings\angel\ms.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
BC_DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
BC_DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
BC_DeleteFile('C:\WINDOWS\system32\77.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RemoteRegistry', 4);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Последний раз редактировалось миднайт; 18.02.2011 в 21:36.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
-
Стоп. Вы выполняли мой скрипт или еще нет? Если нет, сообщите, я дополню его новыми данными.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
Уже выполнил, но новые отчеты еще не создавал. Жду новых данных. Спасибо.
-
Давайте новые логи avz. На их основе и данных с mbam составим новый скрипт. Также не забудьте загрузить карантин.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
Отправил карантин. Прикрепляю логи.
-
Junior Member
- Вес репутации
- 49
Не знаю, будет ли информация полезной: файлы serv.exe и ms.exe автоматически запускаются из командной строки.
-
Закройте/выгрузите все программы кроме AVZ
- Отключите Антивирус и Файрвол.
- Отключитесь от сети.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\ggdrive32.exe');
QuarantineFile('c:\xdx.exe','');
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('c:\documents and settings\Angel\local settings\temporary internet files\Content.IE5\0TWDARIL\ms[1].exe','');
QuarantineFile('joulfoks.sys','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\41A789YV\udv[1].exe','');
DeleteFile('c:\documents and settings\Angel\local settings\temporary internet files\Content.IE5\0TWDARIL\ms[1].exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
BC_DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\03.exe');
BC_DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('c:\xdx.exe');
DeleteFile('c:\WINDOWS\system32\36.exe');
DeleteFile('c:\WINDOWS\system32\40.exe');
DeleteFile('c:\WINDOWS\system32\77.exe');
DeleteFile('c:\xdx.exe');
BC_DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFileMask('c:\documents and settings\Angel\local settings\temporary internet files\Content.IE5\', '*.*', true);
DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\', '*.*', true);
DeleteFileMask('c:\RECYCLER', '*.*', true);
BC_ImportAll;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
ExecuteWizard('TSW',2,2,true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
Новые логи. Также отправил карантин.
-
Повторите лог mbam для контроля.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
Скоро лог будет, но все эти файлы снова появились.
-
А Вы это сделали? -
Сообщение от
Olejah
Установите все новые обновления для Windows
-
-
Junior Member
- Вес репутации
- 49
Вроде, установил.
Друзья, сейчас поступлю так: поставлю заново систему, форматнув один винт, почищу другой винт. Затем снова приду с логами, если эта напасть снова появится.
-
Сообщение от
Arverian
Вроде, установил.
Если бы установили, сетевой червяк не вернулся бы
Пока не торопитесь переустанавливать. Сделайте только лог МВАМ новый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Собственно, mbam.
P.S. Пакеты установлены.
-
Удалите в МВАМ -
Код:
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo.Gen) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo.Gen) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.AutoRun.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
Заражённые файлы:
c:\WINDOWS\ggdrive32.exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\Angel\ms.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\Angel\local settings\temporary internet files\Content.IE5\UQC7JJKK\ms[1].exe (Worm.Palevo) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\CQNK20CY\m39[1].exe (Worm.Palevo.Gen) -> No action taken.
c:\WINDOWS\system32\25.exe (Worm.Palevo.Gen) -> No action taken.
c:\xdx.exe (Worm.Palevo) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
- Повторите лог МВАМ
-
-
Junior Member
- Вес репутации
- 49
Еще логи. Кажется, борьба дает плоды.