Junior Member
Вес репутации
47
jodrive32.exe
Добрый день. Начали выползать какие то левые уведомления при загрузке системы. Обычно 3-4 сообщения о том что не удалось открыть файлы (Расширение .tmp) Переодически появляются процессы с похожими названиями как и у файлов (1cf,ae5 итд.) Так же с загрузкой появляется окошко восстановления (как из корзины) некого файла: vsbntlo,тип - приложение. В процессах висит jodrive32.exe. Касперский и dr.web cureit не помогают.
Вложения
Последний раз редактировалось Bratez; 20.06.2011 в 17:24 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Nexelx , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\xsdll.exe','');
QuarantineFile('C:\Windows\system32\bsysmgr.exe','');
QuarantineFile('C:\Windows\jodrive32.exe','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\AE5.tmp','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\8445.tmp','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\1CF.tmp','');
QuarantineFile('C:\Users\1\AppData\Roaming\C9C6.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\Windows\system32\drivers\zneuocys.sys','');
DeleteService('zneuocys');
QuarantineFile('c:\windows\jodrive32.exe','');
TerminateProcessByName('c:\windows\jodrive32.exe');
DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('C:\Windows\system32\drivers\zneuocys.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\Users\1\AppData\Roaming\C9C6.tmp');
DeleteFile('C:\Users\Илья\AppData\Roaming\1CF.tmp');
DeleteFile('C:\Users\Илья\AppData\Roaming\8445.tmp');
DeleteFile('C:\Users\Илья\AppData\Roaming\AE5.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','name_me');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','exing');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eeexixx');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','aexi');
DeleteFile('C:\Windows\jodrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('C:\Windows\system32\bsysmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bsysmgr');
DeleteFile('C:\Windows\xsdll.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Junior Member
Вес репутации
47
Никаких окон при загрузке больше не появилось.
Карантин закинул. Вот логи:
Последний раз редактировалось Bratez; 20.06.2011 в 17:24 .
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Users\Илья\AppData\Roaming\Dcwqwt.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\Users\Илья\AppData\Roaming\Dcwqwt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dcwqwt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip ;
Junior Member
Вес репутации
47
pctools удалите. Что с проблемой?
Paula rhei.
Поддержать проект можно тут
Junior Member
Вес репутации
47
Удалил уже) Спасибо большое проблема решена. (Ну по крайней мере окна не появляются, процесс jodrive32.exe тоже.)
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 30 В ходе лечения обнаружены вредоносные программы:
c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan.Win32.Scar.eblh ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6217743, AVAST4: Win32:Downloader-IAS [Trj] ) c:\\users\\илья\\appdata\\roaming\\ae5.tmp - Trojan-Dropper.Win32.Agent.eyfc ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.6161608, AVAST4: Win32:Dropper-gen [Drp] ) c:\\users\\илья\\appdata\\roaming\\1cf.tmp - Trojan.Win32.Inject.bdqm ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.6161608, NOD32: Win32/TrojanDownloader.Small.OAA trojan, AVAST4: Win32:Dropper-gen [Drp] ) c:\\users\\илья\\appdata\\roaming\\8445.tmp - HEUR:Trojan-Downloader.Win32.Generic ( DrWEB: Trojan.DownLoader3.36426, BitDefender: Gen:Trojan.Downloader.buY@aC0xrxi, AVAST4: Win32:Malware-gen ) c:\\users\\1\\appdata\\roaming\\c9c6.tmp - Trojan.Win32.Inject.bdle ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.6161608, AVAST4: Win32:Dropper-gen [Drp] ) c:\\windows\\jodrive32.exe - Trojan.Win32.Diple.qna ( DrWEB: Trojan.Packed.21754, BitDefender: Trojan.Generic.6202120, AVAST4: Win32:Kryptik-DAR [Trj] ) c:\\windows\\system32\\bsysmgr.exe - P2P-Worm.Win32.Palevo.drqu ( DrWEB: Trojan.AVKill.9382, BitDefender: Backdoor.Generic.668744, NOD32: Win32/TrojanClicker.VB.NUA trojan, AVAST4: Win32:Malware-gen ) c:\\windows\\xsdll.exe - Trojan.Win32.Inject.besl ( DrWEB: BackDoor.Ddoser.213, BitDefender: Trojan.Generic.KD.252582, NOD32: Win32/TrojanDownloader.VB.PFX trojan, AVAST4: Win32:Malware-gen )