-
Junior Member
- Вес репутации
- 48
Помогите, пожалуйста, победить ggdrive32.exe
Вижу, что этот червь сейчас многим досаждает, но универсального средства избавления от него не нашел.
Я обновил SP2 до SP3, поставил IE8, включил автоматическое обновление и сходил на windows update.
Вручную потёр
C:\windows\ggdrive32.exe
C:\windows\system32\78.exe (и все другие цифры.exe в каталоге)
а также еще файлик, который вызывал после запуска винды окно с мельтешащим курсором в нём.
Но антивирус (Avast) продолжает иногда фиксировать обращение к вредоносным веб-сайтам.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\explorer32\explorer.exe','');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Обновите базы АВЗ
- Сделайте лог Гмер
- Сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 48
Спасибо за оперативный ответ!
Всё выполнил.
-
Не вижу логов -
Сообщение от
Olejah
- Сделайте лог Гмер
- Сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 48
Выкладываю.
PS Сегодня утром Аваст еще атак не блокировал...
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится 02ew5pfi.exe(GMER) и запустите этот батник(1.bat):
Код:
02ew5pfi.exe -del service vtonv
02ew5pfi.exe -del service ybfzefbkr
02ew5pfi.exe -del file "C:\WINDOWS\system32\csnnojx.dll"
02ew5pfi.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vtonv"
02ew5pfi.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ybfzefbkr"
02ew5pfi.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vtonv"
02ew5pfi.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ybfzefbkr"
02ew5pfi.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vtonv"
02ew5pfi.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ybfzefbkr"
02ew5pfi.exe -reboot
Компьютер перезагрузится.
Удалите в МВАМ
Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\Cydoor (AdWare.Cydoor) -> No action taken.
HKEY_CURRENT_USER\Software\Cydoor Services (AdWare.Cydoor) -> No action taken.
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.Bot) -> Value: Policies -> No action taken.
Заражённые папки:
c:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> No action taken.
Заражённые файлы:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\S8019VEI\7[1].exe (Worm.Palevo.Gen) -> No action taken.
c:\WINDOWS\system32\AdCache\b_149300.GIF (AdWare.Cydoor) -> No action taken.
c:\WINDOWS\system32\AdCache\b_149301.GIF (AdWare.Cydoor) -> No action taken.
c:\WINDOWS\system32\AdCache\b_151700.GIF (AdWare.Cydoor) -> No action taken.
c:\WINDOWS\system32\AdCache\b_151701.GIF (AdWare.Cydoor) -> No action taken.
c:\Stubs\89850c79126193bbb5f7e2087d842e2ece3d5\jqs.exe (Trojan.Backdoor) -> No action taken.
c:\Stubs\743a4a9e61dfe1dc233b894307bb660142b8985\GSReport.exe (Trojan.Backdoor) -> No action taken.
После перезагрузки:
- Сделайте новый лог Gmer
- Сделайте новый лог МВАМ
-
-
Junior Member
- Вес репутации
- 48
-
Удалите в МВАМ
Код:
c:\documents and settings\администратор\application data\logs.dat (Bifrose.Trace) -> No action taken.
- Как себя чувствует пациент?
-
-
Junior Member
- Вес репутации
- 48
Вроде бы хорошо, плохих симптомов пока не подает
Спасибо за квалифицированную и оперативную помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-