Показано с 1 по 13 из 13.

Помогите ggdrive32.exe (заявка № 99195)

  1. #1
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    48

    Thumbs up Помогите ggdrive32.exe

    Надоел этот вирус, касперский не лечит, и еще xdx.exe на диске C.
    И наверное еще несколько вирусов..
    Последний раз редактировалось xlop; 11.03.2011 в 20:07.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ:
    Код:
    procedure WhatService(AServiceName : string);
    var
    dllname, servicekey : string;
    begin
    servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
    RegKeyResetSecurity( 'HKLM', servicekey);
    RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
    AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
    AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
    AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
    dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
    AddToLog('ServiceDll: '+dllname);
    QuarantineFile(dllname,'');
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\ggdrive32.exe');
     TerminateProcessByName('c:\documents and settings\admin\betd.exe');
     TerminateProcessByName('c:\documents and settings\admin\96.exe');
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
     QuarantineFile('c:\documents and settings\admin\betd.exe','');
     QuarantineFile('c:\documents and settings\admin\96.exe','');
     DeleteFile('c:\documents and settings\admin\96.exe');
     DeleteFile('c:\documents and settings\admin\betd.exe');
     DeleteFile('c:\windows\ggdrive32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
    WhatService('tosowgf');
    WhatService('xtmnth');
    WhatService('xwiccsapc');
    SaveLog(GetAVZDirectory+'whatsvc.log');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Из папки AVZ файл whatsvc.log приложите в теме.

    Повторите лог virusinfo_syscheck.zip и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    48
    все сделал.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Из папки AVZ файл whatsvc.log приложите в теме.

    Повторите лог virusinfo_syscheck.zip и приложите в теме.
    А это?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    48
    это я выложил, он видимо заменился вместо старого.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Надо было в новом сообщении прикрепить. Ну да ладно.
    Делайте в указанной последовательности:

    Обновите Internet Explorer до актуальной версии (даже если не используете).

    Выполните скрипт в AVZ отсюда:
    http://df.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.

    Пройдите по всем ссылкам (http://...) в avz_log.txt и установите указанные там обновления.
    Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\xdx.exe','');
     QuarantineFile('C:\WINDOWS\system32\53.exe','');
     QuarantineFile('C:\WINDOWS\system32\11.exe','');
     DeleteFile('C:\WINDOWS\system32\11.exe');
     DeleteFile('C:\WINDOWS\system32\53.exe');
     DeleteFile('C:\xdx.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    48
    Вроде все сделал, обновления установил, после перезагрузки еще раз выполнил скрипт , написал что уязвимостей нет.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\ggdrive32.exe');
     TerminateProcessByName('c:\documents and settings\admin\betd.exe');
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\clipsrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\ctpcmcia.dll','');
     QuarantineFile('C:\Program Files\winrar\rarext.dll','');
     DeleteFile('c:\documents and settings\admin\betd.exe');
     DeleteFile('c:\windows\ggdrive32.exe');
     DeleteFile('C:\Documents and Settings\Admin\betd.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     DeleteFile('C:\WINDOWS\system32\04.exe');
     DeleteFile('C:\WINDOWS\system32\07.exe');
     DeleteFile('C:\WINDOWS\system32\13.exe');
     DeleteFile('C:\WINDOWS\system32\26.exe');
     DeleteFile('C:\WINDOWS\system32\34.exe');
     DeleteFile('C:\WINDOWS\system32\35.exe');
     DeleteFile('C:\WINDOWS\system32\63.exe');
     DeleteFile('C:\WINDOWS\system32\64.exe');
     DeleteFile('C:\WINDOWS\system32\77.exe');
     DeleteFile('C:\xdx.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и приложите в теме.

    Сделайте лог MBAM:
    http://virusinfo.info/showthread.php?t=53070
    и приложите.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    48
    все сделал.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Удалите в MBAM:
    Код:
    Заражённые папки:
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\1Z7I9BZ9\xxudv[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\P20JI9BA\7[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\P20JI9BA\7[2].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QXO9GHBP\xxudv[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\QXO9GHBP\xxudv[2].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X2TSO5L0\7[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X2TSO5L0\tdvunlrn[1].bmp (Extension.Mismatch) -> No action taken.
    c:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.
    После удаления отпишитесь - что с проблемой?

    Повторите для конроля лог virusinfo_syscheck.zip и приложите в теме.
    Последний раз редактировалось Nikkollo; 12.03.2011 в 02:43.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  12. #11
    Junior Member Репутация
    Регистрация
    08.03.2011
    Сообщений
    6
    Вес репутации
    48
    Ну вроде нет процесса ggdrive32 и на диске c нет файла xdx.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Чисто.
    I am not young enough to know everything...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 39
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\betd.exe - Trojan.Win32.FakeAv.bhes ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Fakealert.28761, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:FakeSysdef-ED [Trj] )
      2. c:\\documents and settings\\admin\\96.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-NUE [Trj] )
      3. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Backdoor.Win32.Floder.e ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.KD.152836, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-NUE [Trj] )
      4. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan.Win32.FakeAv.bheq ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Gen:Variant.Kazy.15167, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:FakeSysdef-ED [Trj] )
      5. c:\\windows\\ggdrive32.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
      6. c:\\windows\\system32\\11.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
      7. c:\\windows\\system32\\53.exe - Backdoor.Win32.Floder.f ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.152496, AVAST4: Win32:Downloader-NUE [Trj] )
      8. c:\\xdx.exe - Backdoor.Win32.Floder.e ( DrWEB: Win32.HLLW.Siggen.1592, BitDefender: Trojan.Generic.KD.152836, AVAST4: Win32:Downloader-NUE [Trj] )


  • Уважаемый(ая) xlop, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 8
      Последнее сообщение: 11.03.2011, 19:42
    2. ggdrive32.exe, ms.exe - помогите убить этот вирус
      От Serior в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 07.03.2011, 11:25
    3. Помогите избавится от ggdrive32.exe
      От SoraZzz в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 02.03.2011, 19:34
    4. Помогите, пожалуйста, победить ggdrive32.exe
      От Sword в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 01.03.2011, 17:47
    5. Помогите с ggdrive32
      От MaxWay в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 04.02.2011, 16:26

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01428 seconds with 19 queries