jjdrive32.exe, jcdrive32.exe и многое другое

[zlobryk]

в процессах висят jjdrive32.exe, jcdrive32.exe , часто пропадает интернет, антивирус ругается что какая-то фигня постоянно пытается вылезть в интернет, ни курейт, ни штатный антивирь помочь не может, вручную чистил уже все что хоть как-то указывает на эти процессы.
Во вложениях логи AVZ u HJT. Прошу помощи, на работе половина машин под управление ХР заражена.

[Info_bot]

Уважаемый(ая) zlobryk, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

В указанной последовательности:
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/

Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKLM\..\Run: [Microsoft Config Setup] C:\WINDOWS\jodrive32.exe
O4 - HKLM\..\Run: [name_meexuii] C:\Documents and Settings\analitik.CENTER-CREDIT\Application Data\209.tmp
O4 - HKLM\..\Run: [bsysmgr] C:\WINDOWS\system32\bsysmgr.exe
O4 - HKLM\..\Run: [name_me] C:\Documents and Settings\analitik.CENTER-CREDIT\Application Data\20B.tmp
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKLM\..\Policies\Explorer\Run: [rplc.exe] C:\WINDOWS\system32\rplc.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Config Setup] C:\WINDOWS\jodrive32.exe

Выполните скрипт в AVZ:

Код:

procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
WhatService('{55DCD90A-91B6-4C11-AF09-B917E3013201');
 QuarantineFile('C:\WINDOWS\system32\41.exe','');
 QuarantineFile('C:\WINDOWS\system32\14.exe','');
 QuarantineFile('C:\WINDOWS\system32\78.exe','');
 QuarantineFile('C:\Documents and Settings\analitik\Application Data\Microsoft\Internet Explorer\qstatsrv.dll','');
 QuarantineFile('C:\WINDOWS\system32\rplc.exe','');
 QuarantineFile('C:\WINDOWS\jodrive32.exe','');
 QuarantineFile('C:\Program Files\TNod User & Password Finder\TNODUP.exe','');
 QuarantineFile('C:\Documents and Settings\analitik.CENTER-CREDIT\Application Data\Znncnb.exe','');
 QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Znncnb.exe','');
 DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Znncnb.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Znncnb');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Znncnb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Znncnb');
 DeleteFile('C:\Documents and Settings\analitik.CENTER-CREDIT\Application Data\Znncnb.exe');
 DeleteFile('C:\WINDOWS\jodrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
 DeleteFile('C:\WINDOWS\system32\78.exe');
 DeleteFile('C:\WINDOWS\system32\14.exe');
 DeleteFile('C:\WINDOWS\system32\41.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');
 DeleteFile('C:\WINDOWS\system32\77.exe');
 DeleteFile('C:\WINDOWS\system32\86.exe');
 DeleteFile('C:\WINDOWS\system32\87.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 DeleteFile('C:\WINDOWS\system32\27.exe');
QuarantineFile('C:\Documents and Settings\analitik.CENTER-CREDIT\Application Data\209.tmp','');
DeleteFile('C:\Documents and Settings\analitik.CENTER-CREDIT\Application Data\209.tmp');
QuarantineFile('C:\WINDOWS\system32\bsysmgr.exe','');
DeleteFile('C:\WINDOWS\system32\bsysmgr.exe');
QuarantineFile('C:\Documents and Settings\analitik.CENTER-CREDIT\Application Data\20B.tmp','');
DeleteFile('C:\Documents and Settings\analitik.CENTER-CREDIT\Application Data\20B.tmp');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
ExecuteWizard('SCU', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SaveLog(GetAVZDirectory+'WhatServ.log');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Файл WhatServ.log из папки AVZ приложите в теме.

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

[zlobryk]

бяка вроде пропала, но на всякий случай выкладываю логи

[Nikkollo]

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\WINDOWS\system32\23.exe');
 DeleteFile('C:\WINDOWS\system32\53.exe');
 DeleteFile('C:\WINDOWS\system32\00.exe');
 DeleteFile('C:\WINDOWS\system32\32.exe');
end.

Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.

[zlobryk]

Предоставляю запрошенный лог

[thyrex]

Сделайте лог полного сканирования МВАМ

[Nikkollo]

Больше подозрительного по логам не нашел.
Если аномального поведения нет, то на этом можно закончить.

Рекомендую обновить Internet Explorer до актуальной версии (даже если не используете).

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 36
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\analitik.center-credit\\application data\\znncnb.exe - Trojan-Downloader.Win32.Agent.gpno ( DrWEB: Trojan.Packed.21675, BitDefender: Trojan.Generic.KD.239091, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Trojan-gen )
  2. c:\\documents and settings\\networkservice\\application data\\znncnb.exe - Trojan-Downloader.Win32.Agent.gpno ( DrWEB: Trojan.Packed.21675, BitDefender: Trojan.Generic.KD.239091, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Trojan-gen )
  3. c:\\windows\\jodrive32.exe - Trojan-Downloader.Win32.Agent.gpno ( DrWEB: Trojan.Packed.21675, BitDefender: Trojan.Generic.KD.239091, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-HPC [Trj] )
  4. c:\\windows\\system32\\14.exe - Trojan-Downloader.Win32.Agent.gpno ( DrWEB: Trojan.Packed.21675, BitDefender: Trojan.Generic.KD.239091, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-HPC [Trj] )
  5. c:\\windows\\system32\\41.exe - Trojan-Downloader.Win32.Agent.gpno ( DrWEB: Trojan.Packed.21675, BitDefender: Trojan.Generic.KD.239091, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-HPC [Trj] )
  6. c:\\windows\\system32\\78.exe - Trojan-Downloader.Win32.Agent.gpno ( DrWEB: Trojan.Packed.21675, BitDefender: Trojan.Generic.KD.239091, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-HPC [Trj] )