-
Junior Member
- Вес репутации
- 50
jodrive.exe pdf.exe wjdrive.exe
Подозрение на jodrive.exe pdf.exe wjdrive.exe
Симпотмы: систему "колбасит", автоматически выгружаются nod и виндовский брандмауер (отключается), на флеш прописывается вирус, который заменяет атрибуты папок на скрытые и проставляет .lnk
После удаления подозрительных файлов с расширением .exe и .temp после перезагрузки все снова появляются
Подскажите пожалуйста, как вернуть атрибуты папкам, если в свойствах нельзя снять галку "скрытый"?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) _vadim, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\pdf.exe');
QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\pdf.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3706444231-4401713279-068749695-2635\yv8g67.exe','');
QuarantineFile('C:\Documents and Settings\Непомук Эхо\fxmdk.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\behiz.exe','');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\behiz.exe');
DeleteFile('C:\Documents and Settings\Непомук Эхо\fxmdk.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','butu');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','butu');
DeleteFile('C:\RECYCLER\S-1-5-21-3706444231-4401713279-068749695-2635\yv8g67.exe');
DeleteFile('C:\pdf.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи + лог MBAM
-
-
Junior Member
- Вес репутации
- 50
-
Удалите все найденное в MBAM.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Непомук Эхо\Application Data\Eqgogs.exe','');
DeleteFile('C:\Documents and Settings\Непомук Эхо\Application Data\Eqgogs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите из карантина AVZ файл Eqgogs.exe согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Что с проблемой?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
После перезагрузки компьютера (после последнего создания логов с использованием программы mbam) файл Eqgogs.exe в карантине программы AVZ не обнаружен, при нажатии "просмотр карантина" папка пуста. Также отсутствуют файлы по путям:
c:\documents and settings\администратор\application data\visdrive.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\pdf.ex e (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\pdf___ _0.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\winfix er.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\непомук эхо\application data\visdrive.exe (Worm.Palevo.XGen) -> No action taken.
И отстутствует указанная в логе mbam c:\RECYCLER\
При предыдущем создании логов, выполняя п. 2 раздела диагностика nod сигнализировал об обращение к какому-то вредоносному ip адресу с предложением разорвать соединение...
В этот раз сигнала не последовало, на флеш папки не изменяют атрибутов на скрытые. В целом сейча машина ведет себя "тихо".
Не удается изменить атрибуты папок (на переносном жестком) которые вирус заменил на скрытые (галочка недоступна для снятия).
-
Попробуйте изменить атрибуты папок с помощью Total Commander
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
-