-
Junior Member
- Вес репутации
- 55
Заражен ноут Acer ggdrive32.exe
Доброго Времени Суток, имеется зараженный ноут, был просканен Утилитой Кашперовского и Emsisoft Anti-Malware, вирус найден удален, также была чистка автозагрузки (через Авторан утилиту) всех возможных мест руками, всё удалено, но! после посещения интернета (флеш-модем МегаФон) вирус воскрес!
Какие симптомы:
-на сьемных носителях появляется неудаляемый авторан.инф с папкой RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe
этаже папка с файлом живет на диске С
-после входа в инет через некоторое время подвисает internet explorer and explorer.exe
Думаю может этот гад гдето еще живет? может в драйверах где или еще каким нить способом загружается...
ПС: сори за не все логи, syscheck лог почемуто не получилос сделать утилита пособирав инфу почемуто вылетела....ноут не мой владельцы чайники антивирус был стар обновив его легче не стало, вирус видит но только его последствия удаляет какойто файл x.bat на диске С....приду только через 2 дня к ним и то чтото надо будет сделать, так что придется быть без syscheck.
Добавлено через 2 минуты
Результат загрузки
Файл сохранён как 110222_160229_virusinfo_cure_4d63b3e5b00a1.zip
Размер файла 175749
MD5 b9069b9cc1f8eb9a42f5de4713a9f4c0
Последний раз редактировалось [RUS]lan; 22.02.2011 в 16:05.
Причина: Добавлено
Нижневартовск
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Пожалуйста, обновите базы AVZ (Файл->Обновление баз) и сделайте новый полный комплект логов (hijackthis.log; virusinfo_syscure.zip; virusinfo_syscheck.zip).
-
-
Junior Member
- Вес репутации
- 55
Серьезный случай, забрал ноут к себе...
-
Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диск G:\
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\ggdrive32.exe');
TerminateProcessByName('c:\documents and settings\user\serv8.exe');
TerminateProcessByName('c:\documents and settings\user\ms.exe');
QuarantineFile('C:\xdx.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\kfdoakoc.sys','');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
QuarantineFile('C:\WINDOWS\system32\61.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('c:\documents and settings\user\serv8.exe','');
QuarantineFile('c:\documents and settings\user\ms.exe','');
QuarantineFile('c:\windows\ggdrive32.exe','');
DeleteFile('c:\windows\ggdrive32.exe');
DeleteFile('c:\documents and settings\user\ms.exe');
DeleteFile('c:\documents and settings\user\serv8.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\xdx.exe');
DeleteFile('G:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
Подготовьте логи MBAM.
-
-
Junior Member
- Вес репутации
- 55
карантин не загружается по красной ссылке
Последний раз редактировалось [RUS]lan; 25.02.2011 в 13:01.
Нижневартовск
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
![[RUS]lan вне форума](images/statusicon/user-offline.png)
