Не получается убить вирусню gwdrive32.exe и msvmiode.exe

[ork2]

Доброе утро! Не получается убить вирусню gwdrive32.exe и msvmiode.exe

Стоит авира вроде удаляет, а потом снова появляются. И в папке винды появляются финовины с именами 24.exe 18.exe 82.exe. Вручную удаляются потом после перезагрузки снова есть. Утилита лечащая от веба удаляет, появляются снова,
Грузился с minDrWebLiveCD-5.0.3.iso проверял всю ночь , а толку никакого...

Какой файл всю эту заразу создает? И как его можно самоcтоятельно вылечить? И почему антивирусник его пропустил?

Логи avz4 и hijackthis прилагаю. Они в одном файле virusinfo_syscure.zip

Скачать virusinfo_syscure.zip с exfile.ru

[Iljeben]

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\gwdrive32.exe');
 DeleteFile('c:\windows\gwdrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9933314393-1240642024-630735512-5897\csidrv.exe');
 DeleteFile('C:\WINDOWS\gwdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\18.exe');
 DeleteFile('C:\WINDOWS\system32\24.exe');
 DeleteFile('C:\WINDOWS\system32\31.exe');
 DeleteFile('C:\WINDOWS\system32\44.exe');
 DeleteFile('C:\WINDOWS\system32\50.exe');
 DeleteFile('C:\WINDOWS\system32\82.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('c:\documents and settings\администратор\application data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

[FedorVM]

Как вариант попробуйте снять винт и подключить его к чистой машине с обновленным антивирусом (советую Касперского, он хотябы нужные файлы лечит), к папке System Volume Information добавить пользователя (иначе он ее не просканирует) и прогнать.

[ork2]

Цитата:

Сообщение от FedorVM

Как вариант попробуйте снять винт и подключить его к чистой машине с обновленным антивирусом (советую Касперского, он хотябы нужные файлы лечит), к папке System Volume Information добавить пользователя (иначе он ее не просканирует) и прогнать.

а как этого пользователя добавить? через панель управления?

---------- Добавлено в 10:52 ---------- Предыдущее сообщение было написано в 10:35 ----------

Успел заметить перед перезагрузкой что скрипт выполнен без ошибок.
Выполнил стандартный скрипт 2. Логи прилагаю.Скачать логи virusinfo_syscheck.zip с exfile.ru

Что дальше?
=========
Забыл спросить: инет вроде подключен а даже пинг не проходит никуда...Это действие этих зловредов?

[Iljeben]

ork2, вот этот файл:

Цитата:

C:\WINDOWS\system32\ip.bat

Вам знаком? Висит в планировшике задач.

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;

begin 
BC_ServiceKill('eawmjcx');
 ExecuteRepair(14);
RebootWindows(false);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

[ork2]

Цитата:

Сообщение от Iljeben

ork2, вот этот файл:

Вам знаком? Висит в планировшике задач.

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;

begin 
BC_ServiceKill('eawmjcx');
 ExecuteRepair(14);
RebootWindows(false);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

==========
скрипт выполнил вот логи Скачать virusinfo_syscheck.zip с exfile.ru

дальше что делаем?

[Iljeben]

Цитата:

Сообщение от ork2

дальше что делаем?

Это у Вас надо спросить. Тема решена?

З.ы. Если инет отсутствует, скачайте эту утилиту http://winsockfix.en.softonic.com/ и запускаем (Fix). После фикса комп перезагрузитсья. Пересоздайте сетевое поделючение..

[ork2]

Цитата:

Сообщение от Iljeben

Это у Вас надо спросить. Тема решена?

З.ы. Если инет отсутствует, скачайте эту утилиту http://winsockfix.en.softonic.com/ и запускаем (Fix). После фикса комп перезагрузитсья. Пересоздайте сетевое поделючение..

не решена, при запуске открывается мои документы, пропадает подключение к интернету(правда после перезагрузки какое то время нормально работает) и не могу зайти на сайты

• www.microsoft.com.
• www.drweb.com
• www.kaspersky.ru

и подобные,на другие заходит нормально.

в системной папке и в темпе опять вот что то нарисовалось:






откуда они гады вылазят

[Iljeben]

ork2, пока мы оба в онлайне давайте не исчезайте до конца лечения. Вы можете на одном месте усидеть?

Пришлите новый лог AVZ и GMER. Давайте сегодня закончим с Вашей проблемой.

[ork2]

Цитата:

Сообщение от Iljeben

ork2, пока мы оба в онлайне давайте не исчезайте до конца лечения. Вы можете на одном месте усидеть?

Пришлите новый лог AVZ и GMER. Давайте сегодня закончим с Вашей проблемой.

вот оба лога в одном архиве Скачать virusinfo_syscheck.zip с exfile.ru

Цитата:

Вы можете на одном месте усидеть?

могу но вызвали срочно.... уже свободен

[goredey]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 8p0j5cfk.exe случайное имя утилиты (gmer)

Код:

8p0j5cfk.exe -del service ekxgnqe
8p0j5cfk.exe -del file "C:\WINDOWS\system32\qogfskhi.dll"
8p0j5cfk.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ekxgnqe"
8p0j5cfk.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ekxgnqe"
8p0j5cfk.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

---------- Добавлено в 22:11 ---------- Предыдущее сообщение было написано в 22:06 ----------

Установите данные патчи!
1)http://www.microsoft.com/rus/technet.../MS08-067.mspx
2)http://www.microsoft.com/rus/technet.../MS08-068.mspx
3)http://www.oszone.net/go.php?url=htt.../MS09-001.mspx

Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности

[ork2]

Цитата:

Сообщение от goredey

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 8p0j5cfk.exe случайное имя утилиты (gmer)

Код:

8p0j5cfk.exe -del service ekxgnqe
8p0j5cfk.exe -del file "C:\WINDOWS\system32\qogfskhi.dll"
8p0j5cfk.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ekxgnqe"
8p0j5cfk.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ekxgnqe"
8p0j5cfk.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

---------- Добавлено в 22:11 ---------- Предыдущее сообщение было написано в 22:06 ----------

Установите данные патчи!
1)http://www.microsoft.com/rus/technet.../MS08-067.mspx
2)http://www.microsoft.com/rus/technet.../MS08-068.mspx
3)http://www.oszone.net/go.php?url=htt.../MS09-001.mspx

Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности

запустил сохранённый пакетный файл cleanup.bat
перезагрузил, патчи поставил, пароль стоит, мои док при запуске все равно открываются...
вот новый лог Скачать gmer.log с exfile.ru

[goredey]

Цитата:

Сообщение от ork2

вот новый лог Скачать gmer.log с exfile.ru

Хорошо здесь чисто. Дайте лог AVZ № 2.+Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[ork2]

Цитата:

Сообщение от goredey

Хорошо здесь чисто. Дайте лог AVZ № 2.+Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

на время проверки сеть и инет тоже вырубать?

---------- Добавлено в 01:46 ---------- Предыдущее сообщение было написано в 01:34 ----------

выполнил что говорили вот все логи в одном архиве Скачать virusinfo_syscheck.zip с exfile.ru

[goredey]

Цитата:

Сообщение от ork2

на время проверки сеть и инет тоже вырубать?

Да
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('W:\usr\local\mysql5\bin\mysqld.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1758642498-8568361206-732414282-2617\csisd.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\ltzqai.exe,Explorer.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1758642498-8568361206-732414282-2617\csisd.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\ltzqai.exe,Explorer.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

ЧТо с проблемой?