[решено] Заражен ноут Acer ggdrive32.exe - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Заражен ноут Acer ggdrive32.exe (http://forum.oszone.net/showthread.php?t=200251)

Заражен ноут Acer ggdrive32.exe

Доброго Времени Суток, имеется зараженный ноут, был просканен Утилитой Кашперовского и Emsisoft Anti-Malware, вирус найден удален, также была чистка автозагрузки (через Авторан утилиту) всех возможных мест руками, всё удалено, но! после посещения интернета (флеш-модем МегаФон) вирус воскрес!
Какие симптомы:
-на сьемных носителях появляется неудаляемый авторан.инф с папкой RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe
этаже папка с файлом живет на диске С
-после входа в инет через некоторое время подвисает internet explorer and explorer.exe
Думаю может этот гад гдето еще живет? может в драйверах где или еще каким нить способом загружается...
ПС: ноут не мой владельцы чайники антивирус был стар обновив его легче не стало, вирус видит но только его последствия удаляет какойто файл x.bat на диске С....поглядите логи мож какие процессы, драйвера подозрительные...

Уберите virusinfo_cure.zip из вложения!!!

Обновите Internet Explorer до IE8

Зоркий глаз сами устанавливали?

Проверьте сами на http://www.virustotal.com файлы

Код:

c:\program files\зоркий глаз\base\execctrl.dll

c:\program files\megafon internet\updatedog\ouc.exe

ссылку на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

TerminateProcessByName('c:\windows\repsvc.exe');

TerminateProcessByName('C:\WINDOWS\ggdrive32.exe');

 QuarantineFile('c:\windows\repsvc.exe','');

 QuarantineFile('C:\WINDOWS\system32\repsvc.exe','');

 QuarantineFile('C:\WINDOWS\system32\01.scr','');

 QuarantineFile('C:\WINDOWS\ggdrive32.exe','');

 DeleteFile('C:\WINDOWS\ggdrive32.exe');

 DeleteFile('C:\WINDOWS\system32\01.scr');

 DeleteFile('c:\windows\repsvc.exe');

 DeleteFile('C:\WINDOWS\system32\repsvc.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Remote Registry Service');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Пофиксить в HijackThis следующие строчки:

Код:

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O4 - HKLM\..\Run: [Remote Registry Service] repsvc.exe

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

Сделайте повторные логи AVZ с обновленными базами!!!+ RSIR

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Цитата:

Цитата maniy77

Зоркий глаз сами устанавливали? »

ДА http://exnax.narod.ru/antivir.htm

Файл карантина (virusinfo_cure.zip) не надо вкладывать во вложения, и ссылки не надо на него давать!
Только по требованию хэлпера.
Уберите ссылку, пожалуйста, на virusinfo_cure.zip.
Логи жду

Серьезный случай, забрал ноут к себе...

Установите все новые обновления для Windows!! через дырки лезет эта зараза.
Иначе, борьба с сетевым червем будет подобна борьбе с ветряной мельняцей

- Запустите MBAM
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).

Код:

Заражённые папки:

c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.



Заражённые файлы:

c:\WINDOWS\nigzss.txt (Malware.Trace) -> No action taken.

c:\xdx.exe (Worm.Palevo) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

ClearQuarantine;

 TerminateProcessByName('c:\documents and settings\user\serv8.exe');

 TerminateProcessByName('c:\documents and settings\user\ms.exe');

 TerminateProcessByName('c:\windows\ggdrive32.exe');

 QuarantineFile('C:\xdx.exe','');

 QuarantineFile('C:\WINDOWS\system32\88.exe','');

 QuarantineFile('C:\WINDOWS\system32\61.exe','');

 QuarantineFile('C:\WINDOWS\system32\01.exe','');

 QuarantineFile('C:\WINDOWS\system32\00.exe','');

 QuarantineFile('G:\autorun.inf','');

 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');

 QuarantineFile('c:\documents and settings\user\serv8.exe','');

 QuarantineFile('c:\documents and settings\user\ms.exe','');

 QuarantineFile('c:\windows\ggdrive32.exe','');

QuarantineFile('C:\Documents and Settings\User\dq.exe','');

DeleteFile('C:\Documents and Settings\User\dq.exe');

DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');

 DeleteFile('c:\documents and settings\user\ms.exe');

 DeleteFile('C:\Documents and Settings\User\serv8.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe');

 DeleteFile('C:\WINDOWS\ggdrive32.exe');

 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');

 DeleteFile('G:\autorun.inf');

 DeleteFile('C:\WINDOWS\system32\00.exe');

 DeleteFile('C:\WINDOWS\system32\01.exe');

 DeleteFile('C:\WINDOWS\system32\61.exe');

 DeleteFile('C:\WINDOWS\system32\88.exe');

 DeleteFile('C:\xdx.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteFile('C:\WINDOWS\ggdrive32.exe');

BC_Activate;

ExecuteWizard('TSW', 2, 2, true);

RebootWindows(true);

end.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

повторяем все логи

Как ваши дела? В логах чисто

1)Установить все возможные обновления продуктов Adobe, которые установлены на вашем компьютере или удалите их.

2)Срочно смените и усложните все пароли (qwert или 1234 не есть сложный пароль): для учетных записей администраторов и пользователей, от e-mail, аккаунтов в интернете и прочие.

3)Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd
4)Деинсталлируйте Malwarebytes' Anti-Malware - программа предназначена для временного пользования

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы

Всё отлично, адоб удалю, что делает АТФ Клинер с Оперой и Лисой?
ну и на последок...

МБАМ Обновил, инет вкл.

ПС: из за чего всетаки воскресал вирус, грузился какойто драйвер?

Чисто

Цитата:

Цитата MyPPuK

из за чего всетаки воскресал вирус, »

это сетевой червь, http://ru.wikipedia.org/wiki/%D0%A1%...80%D0%B2%D0%B8

Цитата:

Цитата MyPPuK

о делает АТФ Клинер с Оперой и Лисой? »

чистит временные файлы

Вы запускали Combofix?
лог могу увидеть?

Что из этого вам нужно? Для закрытия уязвимостей дам вам скрипт

Код:

Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

 >>  Разрешен автозапуск с сетевых дисков

 >>  Разрешен автозапуск со сменных носителей

Оставим автозапуск программ с CDROM и автозапуск со сменных носителей, автозапуск будет защищать Зоркий Глаз

ПС: Не подскажете ктонить пакует UpdatePack на Офис 2003 может на озоне есть?

Цитата:

Цитата MyPPuK

Оставим автозапуск программ »

а что с потенциально опасными службами?

Цитата:

Цитата MyPPuK

ПС: Не подскажете »

посмотрите здесь по офису темы http://forum.oszone.net/forum-115.html
http://forum.oszone.net/thread-166498.html

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Цитата:

Цитата maniy77

а что с потенциально опасными службами? »

остальное можно отключить

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

SetServiceStart('TlntSvr', 4);

SetServiceStart('RDSessMgr', 4);

SetServiceStart('mnmsrvc', 4);

SetServiceStart('SSDPSRV', 4);

SetServiceStart('TermService', 4);

SetServiceStart('RemoteRegistry', 4);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);

end.

Подробнее об отключенных службах здесь http://www.oszone.net/display.php?id=2517

Всё сделал спасибо, ПК вылечен тема закрыта

Рада за вас, чистого инета!