-
Junior Member
- Вес репутации
- 59
jobdrive32.exe и компания
Завелся вот такой вирус - висит процессом в памяти.
Периодически запускает процессы с именами типа 3.tmp, на которые ругается антивирус.
Попытка удалить через HijackThis его и всяких подозрительных штук ни к чему не привела - после перезагрузки все восстанавливается.
Полное прочесывание системы антивирусом заканчивается внезапной перезагрузкой, как в безопасном так и в обычном режиме.
Снятый диск был пролечен на другом компьютере, вроде успешно, но после установки обратно все вернулось как было.
Что посоветуете?
Логи AVZ и HijackThis прилагаются.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Dmi9000, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\Documents and Settings\budkin\Application Data\Tlpmpf.exe','');
DeleteFile('C:\Documents and Settings\budkin\Application Data\Tlpmpf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tlpmpf');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\WINDOWS\jodrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 59
выполнено успешно.
файл загрузил.
логи прилагаются.
злой процесс пока вроде не появляется
-
-
-
Junior Member
- Вес репутации
- 59
Пока вроде все чисто.
Если в логах ничего нет, то можно считать что решили?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
-
Удалите всё, что нашёл МВАМ.
-
-
Junior Member
- Вес репутации
- 59
-
Хорошо. Время прошло, проблем с ПК не возникло?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\budkin\\application data\\tlpmpf.exe - Trojan.Win32.Genome.sldc ( DrWEB: BackDoor.IRC.Bot.1528, BitDefender: Trojan.Generic.6205416, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan.Win32.Scar.edir ( DrWEB: Trojan.DownLoader3.52748, BitDefender: Trojan.Generic.6273205, AVAST4: Win32:Kryptik-DJX [Trj] )
- c:\\windows\\jodrive32.exe - Trojan.Win32.Genome.skzy ( DrWEB: BackDoor.IRC.Bot.1528, BitDefender: Trojan.Generic.6274169, NOD32: IRC/SdBot trojan, AVAST4: Win32:MalOb-EI [Cryp] )
-