Тот самый jodrive32.exe. Помогите удалить
Здравствуйте. В общем подцепил я эту заразу, да и других заразил. Симптомы как у всех: сначала браузеры отказались работать, система тормозит. Потом после чистки системы вроде стали работать, но очень медленно. Запускается приложение ac32.exe, которое называется BrowseIt и ещё целый букет вирусов сопутствующий jodrive32.exe Как выяснилось, вирус очень серьёзный. Решения разные искал, но всё сводится к вамПомогите пожалуйста
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) WhiteSky, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('vsbntlo.exe'); TerminateProcessByName('c:\windows\system32\bsysmgr.exe'); StopService('szkgfs'); StopService('szkg5'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\WINDOWS\system32\ac32.exe',''); QuarantineFile('C:\WINDOWS\jodrive32.exe',''); QuarantineFile('C:\Documents and Settings\мтс\Application Data\Uwoeoy.exe',''); QuarantineFile('C:\Documents and Settings\мтс\Application Data\34.tmp',''); QuarantineFile('C:\Documents and Settings\мтс\Application Data\32.tmp',''); QuarantineFile('c:\windows\system32\drivers\szkg5.sys',''); QuarantineFile('c:\windows\system32\drivers\szkgfs.sys',''); QuarantineFile('c:\windows\system32\drivers\szkg.sys',''); QuarantineFile('c:\windows\system32\drivers\szkg5.sys',''); QuarantineFile('szkgfs.sys',''); QuarantineFile('szkg.sys',''); QuarantineFile('vsbntlo.exe',''); QuarantineFile('c:\windows\system32\bsysmgr.exe',''); DeleteFile('c:\windows\system32\drivers\szkg.sys'); DeleteFile('c:\windows\system32\drivers\szkgfs.sys'); DeleteFile('c:\windows\system32\drivers\szkg5.sys'); DeleteFile('C:\Documents and Settings\мтс\Application Data\Uwoeoy.exe'); DeleteFile('C:\WINDOWS\system32\ac32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\Documents and Settings\мтс\Application Data\32.tmp'); DeleteFile('C:\Documents and Settings\мтс\Application Data\34.tmp'); DeleteFile('c:\windows\system32\bsysmgr.exe'); DeleteFile('C:\WINDOWS\jodrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','name_me'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Uwoeoy'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ac32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','name_meexuii'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bsysmgr'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); DeleteService('szkgfs'); DeleteService('szkg5'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 2, 3, true); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Ага, сделал. Карантин отправил. Вот логи
Здравствуйте.
Отключите:
-Все защитные приложения
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('vsbntlo.exe'); TerminateProcessByName('Uwoeoy.exe'); BC_DeleteFile('C:\Documents and Settings\мтс\Application Data\Uwoeoy.exe'); BC_DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); BC_DeleteFile('C:\WINDOWS\jodrive32.exe'); BC_DeleteFile('C:\WINDOWS\system32\bsysmgr.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Uwoeoy'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bsysmgr'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Сделайте повторные логи.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('vsbntlo.exe'); TerminateProcessByName('Uwoeoy.exe'); SetServiceStart('szkgfs', 4); SetServiceStart('szkg5', 4); StopService('szkgfs'); StopService('szkg5'); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true); DeleteFile('Uwoeoy.exe'); DeleteFile('vsbntlo.exe'); DeleteFile('szkg5.sys'); DeleteFile('C:\WINDOWS\system32\ac32.exe'); DeleteFile('szkgfs.sys'); DeleteFile('C:\Documents and Settings\мтс\Application Data\Uwoeoy.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\WINDOWS\jodrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ac32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Uwoeoy'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup'); DeleteService('szkgfs'); DeleteService('szkg5'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 2, 3, true); RebootWindows(true); end.
Профиксите в HijackThis
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
Скрипт выполнил. Фикс сделал. Новые логи
Чисто.
Спасибо большое. Только вот что мне с флэхами делать? Они то у меня заражены. Как их почистить, что бы я опять эту заразу не заимел?
Если на флешках нету данных - форматирование.
Если есть - подключите все флешки к ПК и сделайте логи заново.
Лучше форматну, если это правда его убьёт, а то я читал что даже жёсткие форматировали, а он всё равно жил. Это лучше делать в безопасном режиме?
Да.Сообщение от WhiteSky
в принципе без разницы, в своём скрипте я отключил автозапуск с флешек, так что если вы сами не откроете файл с вирусом на флешке, то не он запустится.
Супер!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 35
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\мтс\\application data\\uwoeoy.exe - Trojan.MSIL.Crypt.fo ( DrWEB: Win32.HLLW.Autoruner.47443, BitDefender: Trojan.Generic.KDV.243593, NOD32: Win32/Dorkbot.A worm, AVAST4: MSIL:Dropper-KX [Drp] )
- c:\\documents and settings\\мтс\\application data\\32.tmp - Trojan-Downloader.Win32.Small.bzua ( DrWEB: Trojan.DownLoader4.57227, BitDefender: Trojan.Generic.7019631, AVAST4: Win32:Downloader-HVY [Trj] )
- c:\\documents and settings\\мтс\\application data\\34.tmp - Trojan-Downloader.Win32.Small.bztz ( DrWEB: Trojan.DownLoader4.55674, BitDefender: Trojan.Generic.7038538, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan.MSIL.Crypt.mi ( DrWEB: Win32.HLLW.Autoruner.47443, BitDefender: Trojan.Generic.KDV.246252, AVAST4: MSIL:Dropper-KX [Drp] )
- c:\\windows\\jodrive32.exe - Trojan.MSIL.Crypt.mb ( DrWEB: Win32.HLLW.Autoruner.47443, BitDefender: Trojan.Generic.7372198, AVAST4: MSIL:Dropper-KX [Drp] )
- c:\\windows\\system32\\ac32.exe - Backdoor.Win32.VB.npc ( DrWEB: Trojan.Inject.44860, BitDefender: Trojan.Generic.KDV.236753, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\bsysmgr.exe - P2P-Worm.Win32.Palevo.drqu ( DrWEB: Trojan.AVKill.9382, BitDefender: Backdoor.Generic.668744, NOD32: Win32/TrojanClicker.VB.NUA trojan, AVAST4: Win32:Malware-gen )
Уважаемый(ая) WhiteSky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
