[решено] Как и чем можно удалить вирус gwdrive32.exe

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Как и чем можно удалить вирус gwdrive32.exe

Пробовал и нодом сканировать и AVZ и drweb и Trojan Remover а толку ноль он как ломился так и ломиться! Все логи AVZ и из файлового журнала нода прилогаю! ПОМОГИТЕ кто может!!!!!!!!

Тут есть кто живой???

Здравствуйте!Подготовьте также лог RSIT.

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Радмин вы устанавливали?

Все сделал!

Да радмин стоит он нужен мне для работы с удалёнкой в офисе

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);  

 QuarantineFile('C:\Documents and Settings\User\Application Data\ltzqai.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-7086638045-4642880076-926996006-6997\csisf.exe','');

 QuarantineFile('C:\Documents and Settings\User\Application Data\oekx.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-3681689200-6106407222-170672864-4411\svmgr.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-8529761846-8370294560-372905070-4160\svmgr.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-1872472452-6276756521-006703494-1736\csisd.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-2521186653-6347949846-773174997-3368\csidrv.exe','');

 QuarantineFile('C:\WINDOWS\system32\44.exe','');

 QuarantineFile('C:\WINDOWS\gwdrive32.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');                

 DeleteFile('C:\Documents and Settings\User\Application Data\ltzqai.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-7086638045-4642880076-926996006-6997\csisf.exe');

 DeleteFile('C:\Documents and Settings\User\Application Data\oekx.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-3681689200-6106407222-170672864-4411\svmgr.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-8529761846-8370294560-372905070-4160\svmgr.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-1872472452-6276756521-006703494-1736\csisd.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-2521186653-6347949846-773174997-3368\csidrv.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');                        

 DeleteFile('C:\WINDOWS\gwdrive32.exe');

 DeleteFile('C:\WINDOWS\system32\44.exe');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnawy');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Load');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Microsoft Driver Setup');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Run');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Tnawy');              

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(16);    

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы

• Также выполните в AVZ такой скрипт.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F3 - REG:win.ini: load=????

F3 - REG:win.ini: run=????

Обновите Internet Explorer до восьмой версии
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

• Внимание! Если у вас установлен Webmoney Keeper - сохраните ключи в файл!

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

А также

Установите все новые обновления для Windows

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Проблема так и осталась! IE8 поставить не могу постоянно выдает ошибку и создает ярлык на рабочем столе! Как это вирье можно ещё удалить????

Цитата:

Цитата lex87

Проблема так и осталась! IE8 поставить не могу постоянно выдает ошибку и создает ярлык на рабочем столе! Как это вирье можно ещё удалить???? »

Неудивительно.

Выполнили всё что я написал? Давайте логи.

Логи чего именно надо вам???

Выполните всё что вам рекомендовали . после этого выложите получившиеся логи от утилит.

1. Скрипт, который я дал выполнили?

2. Этот скрипт в AVZ тоже выполнили? Прикрепите текстовой файл Correct_wuauserv&BITS.

3. Пофиксили в hijackthis указанные строки?

4. ComboFix запускали? Лог C:\ComboFix.txt прикрепите.

5. Делали полное сканирование в MBAM? Лог прикрепите.

1. Скрипт, который я дал выполнили? -да

2. Этот скрипт в AVZ тоже выполнили? Прикрепите текстовой файл Correct_wuauserv&BITS. -да

3. Пофиксили в hijackthis указанные строки? -таких строк там не оказалось, файл тоже прикрепил

4. ComboFix запускали? Лог C:\ComboFix.txt прикрепите. -да

5. Делали полное сканирование в MBAM? Лог прикрепите. -да

При запуске интернета сразу начинают появляться вирусы типа 48.exe и т.д.

lex87, перед запуском ComboFix необходимо отключать антивирус!
Подготовьте новый лог ComboFix.

Также подготовьте лог RSIT.

Пеед повторными логами

Цитата:

c:\windows\System32\wuauclt.exe ... is missing !!
c:\windows\System32\srsvc.dll ... is missing !!

Восстановите файлы с или аналогичной системыдистрибутива

Прикрепите лог RSIT.

Сделайте контрольный лог сканирования MBAM.

Файлы восстановите.

Код:

c:\windows\System32\wuauclt.exe ... is missing !!

c:\windows\System32\srsvc.dll ... is missing !!

Что с проблемой?

Прочтите сообщение перед Вашим и выполните

Ну вирусов вроде нет а вот служба Автоматического обновления не запускается!!! И из за этого не могу установить IE8! Что можно с этим сделать?

Цитата:

Цитата lex87

Ну вирусов вроде нет а вот служба Автоматического обновления не запускается!!! И из за этого не могу установить IE8! Что можно с этим сделать? »

Выполните этот скрипт в AVZ.

Восстановил службу обновления винды и файлы которые вы указывали выше с помощью переустановки sp 3. И установил IE8

проблема решена! Спасибо огромное за помощь!!!!

Пожалуйста, но еще не всё.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Скачайте архив из вложения, распакуйте и запустите reg-файл, согласитесь в внесением информации в реестр. Он удалит ветку реестра, которая осталась после зловреда.

Обновите Adobe Reader до последней версии.

Дальше по правилам очистите временные файлы и создайте новую точку восстановления удалив предыдущие.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Регулярно устанавливайте обновления Windows.
4.Регулярно обновляйте антивирусные базы.