jodrive.exe pdf.exe wjdrive.exe
Подозрение на jodrive.exe pdf.exe wjdrive.exe
Симпотмы: систему "колбасит", автоматически выгружаются nod и виндовский брандмауер (отключается), на флеш прописывается вирус, который заменяет атрибуты папок на скрытые и проставляет .lnk
После удаления подозрительных файлов с расширением .exe и .temp после перезагрузки все снова появляются
Подскажите пожалуйста, как вернуть атрибуты папкам, если в свойствах нельзя снять галку "скрытый"?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) _vadim, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\pdf.exe'); QuarantineFile('C:\WINDOWS\wjdrive32.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\pdf.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3706444231-4401713279-068749695-2635\yv8g67.exe',''); QuarantineFile('C:\Documents and Settings\Непомук Эхо\fxmdk.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\behiz.exe',''); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\behiz.exe'); DeleteFile('C:\Documents and Settings\Непомук Эхо\fxmdk.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','butu'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','butu'); DeleteFile('C:\RECYCLER\S-1-5-21-3706444231-4401713279-068749695-2635\yv8g67.exe'); DeleteFile('C:\pdf.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\WINDOWS\wjdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи + лог MBAM
Сделал.
Удалите все найденное в MBAM.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Непомук Эхо\Application Data\Eqgogs.exe',''); DeleteFile('C:\Documents and Settings\Непомук Эхо\Application Data\Eqgogs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите из карантина AVZ файл Eqgogs.exe согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Что с проблемой?
I am not young enough to know everything...
После перезагрузки компьютера (после последнего создания логов с использованием программы mbam) файл Eqgogs.exe в карантине программы AVZ не обнаружен, при нажатии "просмотр карантина" папка пуста. Также отсутствуют файлы по путям:
c:\documents and settings\администратор\application data\visdrive.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\pdf.ex e (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\pdf___ _0.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\winfix er.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\непомук эхо\application data\visdrive.exe (Worm.Palevo.XGen) -> No action taken.
И отстутствует указанная в логе mbam c:\RECYCLER\
При предыдущем создании логов, выполняя п. 2 раздела диагностика nod сигнализировал об обращение к какому-то вредоносному ip адресу с предложением разорвать соединение...
В этот раз сигнала не последовало, на флеш папки не изменяют атрибутов на скрытые. В целом сейча машина ведет себя "тихо".
Не удается изменить атрибуты папок (на переносном жестком) которые вирус заменил на скрытые (галочка недоступна для снятия).
Попробуйте изменить атрибуты папок с помощью Total Commander
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ок, спасибо за помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) _vadim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
