Показано с 1 по 17 из 17.

jodrive32 (заявка № 104665)

  1. #1
    Junior Member Репутация
    Регистрация
    28.06.2011
    Сообщений
    8
    Вес репутации
    47

    Thumbs up jodrive32

    Стал счастливым обладателем этого вируса... помогите пожалуйста...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) DviK, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Здравствуйте.
    Отключите:
    -ПК от интернета
    -Все защитные приложения
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('C:\WINDOWS\system32\62.exe','');
    QuarantineFile('C:\WINDOWS\system32\12.exe','');
    QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
    QuarantineFile('C:\WINDOWS\jodrive32.exe','');
    QuarantineFile('C:\Documents and Settings\Двик\Application Data\Pyrwrl.exe','');
    QuarantineFile('C:\Documents and Settings\Двик\Application Data\Jwrwrf.exe','');
    QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
    QuarantineFile('C:\WINDOWS\system32\72.exe','');
    QuarantineFile('C:\WINDOWS\system32\18.exe','');
    QuarantineFile('C:\WINDOWS\system32\bsysmgr.exe','');
    QuarantineFile('C:\WINDOWS\aadrive32.exe','');
    QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
    DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
    DeleteFile('C:\Documents and Settings\Двик\Application Data\Jwrwrf.exe');
    DeleteFile('C:\Documents and Settings\Двик\Application Data\Pyrwrl.exe');
    DeleteFile('C:\WINDOWS\jodrive32.exe');
    DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
    DeleteFile('C:\WINDOWS\system32\12.exe');
    DeleteFile('C:\WINDOWS\system32\62.exe');
    DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
    DeleteFile('C:\WINDOWS\aadrive32.exe');
    DeleteFile('C:\WINDOWS\system32\bsysmgr.exe');
    DeleteFile('C:\WINDOWS\system32\18.exe');
    DeleteFile('C:\WINDOWS\system32\72.exe');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jwrwrf');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pyrwrl');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bsysmgr');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Сделайте повторные логи.

  5. #4
    Junior Member Репутация
    Регистрация
    28.06.2011
    Сообщений
    8
    Вес репутации
    47
    Выполнил скрипт, и после перезагрузки никаких левых процессов не было... Но буквально через минуты 3-5 стали появляться процессы: 51.tmp 52.tmp 53 61, и так далее... Затем опять же скачались и jodrive32.exe и bsysmgr.exe... Так же запускаются и 62.exe (цифры не точные).

    Сделал новый лог только что, уже с заново появившимся вирем... Процессы убивал вручную, они ваще avz вырубают сразу сами....

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Отключите:
    -Все защитные приложения
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe','');
    QuarantineFile('C:\WINDOWS\system32\60.exe','');
    QuarantineFile('C:\WINDOWS\system32\54.exe','');
    QuarantineFile('C:\WINDOWS\system32\38.exe','');
    QuarantineFile('C:\WINDOWS\system32\21.exe','');
    QuarantineFile('C:\WINDOWS\system32\07.exe','');
    QuarantineFile('C:\WINDOWS\system32\05.exe','');
    BC_DeleteFile('C:\Documents and Settings\Двик\Application Data\Pyrwrl.exe');
    BC_DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
    BC_DeleteFile('C:\WINDOWS\jodrive32.exe');
    BC_DeleteFile('C:\WINDOWS\system32\bsysmgr.exe');
    BC_DeleteFile('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100\wincache.exe');
    DeleteFile('C:\WINDOWS\system32\05.exe');
    DeleteFile('C:\WINDOWS\system32\07.exe');
    DeleteFile('C:\WINDOWS\system32\21.exe');
    DeleteFile('C:\WINDOWS\system32\38.exe');
    DeleteFile('C:\WINDOWS\system32\54.exe');
    DeleteFile('C:\WINDOWS\system32\60.exe');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pyrwrl');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bsysmgr');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Сделайте повторные логи.

  7. #6
    Junior Member Репутация
    Регистрация
    28.06.2011
    Сообщений
    8
    Вес репутации
    47
    Сделал. Пока что никаких новых (левых) процессов не запускается... Сделал логи...

    в реестре нашел имена этих вирусов в папке:
    HKEY_USERS\S-1-5-21-73586283-1659004503-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICac he

    Вот прям щас появился и тут же исчез процесс "58.exe"
    Так же появился pyrwrl.exe, и всякие 5D.tmp, 5A.tmp, 5E.tmp
    Ну и bsysmgr появился....
    aadrive32 тоже тут как тут....

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Сделайте лог MBAM.

  9. #8
    Junior Member Репутация
    Регистрация
    28.06.2011
    Сообщений
    8
    Вес репутации
    47
    не могу зайти на этот сайт, чтоб скачать... блокирует вирус... Так же невозможно зайти на сайты любых антивирусников (нод, каспер, дрвеб)

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Попробуйте скачать отсюда.

  11. #10
    Junior Member Репутация
    Регистрация
    28.06.2011
    Сообщений
    8
    Вес репутации
    47
    Спасибо, скачал. Сделал быстрое сканирование.

    УХ ёёёё.... зараженных файлов 206

    удалять все что нашел??
    Последний раз редактировалось DviK; 28.06.2011 в 19:10.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Удалите в МВАМ все, кроме
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    Установите все новые обновления для Windows
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    28.06.2011
    Сообщений
    8
    Вес репутации
    47
    Долго не мог зайти на сайт (Этот тоже стал блокался вирусом).
    Вылечился cureit'ом, найдя вирус в semkhs.dll

    в мбаме нажал вылечить все, (нужные файлы тоже)

    Как только загружается система все нормально - но потом начинают опять открываться процессы цифра.exe и появляются в C:\WINDOWS\system32\88.exe
    ну весь пакет этой заразы опять появился...
    Последний раз редактировалось DviK; 28.06.2011 в 20:05.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Сделайте новый лог MBAM.
    Выгрузите все установленные P2P-клиенты.

  15. #14
    Junior Member Репутация
    Регистрация
    28.06.2011
    Сообщений
    8
    Вес репутации
    47
    Вычистил мбамом в безопасном режиме все. Но как тока захожу в обычном (или с поддежкой сетевых драйверов), вся фигня опять появляется... Причем появляется по ходу сканирования (пару раз даже вылетает, вирус закрывает походу).

    Вот просканировал только что. Думаю, через минут 10 будет еще больше....


    Вот еще просканил в безопасном режиме (вычещенным мбамом) avz'шкой
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    251
    Отключите Ваш ПК от интернета и удалите все найденное в MBAM.
    Червяк лезет через расшаренные папки и BitTorrent-клиенты.
    Установите все обновления отсюда.

  17. #16
    Junior Member Репутация
    Регистрация
    28.06.2011
    Сообщений
    8
    Вес репутации
    47
    Удалил все найденное, обновил винду. Вроде нормально все. Поставил антивирь и фаервол...
    процесс System иногда пытается куда-то лезть... Это и раньше замечал...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 36
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\двик\\application data\\jwrwrf.exe - Backdoor.Win32.Ruskill.cwy ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, AVAST4: Win32:MalOb-EI [Cryp] )
      2. c:\\documents and settings\\двик\\application data\\pyrwrl.exe - Backdoor.Win32.Ruskill.lk ( DrWEB: Trojan.Packed.21761, BitDefender: Trojan.Generic.KDV.266660, AVAST4: Win32:MalOb-EI [Cryp] )
      3. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Backdoor.Win32.Ruskill.lk ( DrWEB: Trojan.Packed.21761, BitDefender: Trojan.Generic.KDV.266660, AVAST4: Win32:MalOb-EI [Cryp] )
      4. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan.Win32.Scar.edzy ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.271731, AVAST4: Win32:Slenugga [Trj] )
      5. c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Trojan.Win32.Scar.edvh ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.KDV.270540, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Slenugga [Trj] )
      6. c:\\windows\\aadrive32.exe - Net-Worm.Win32.Kolab.aeff ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.6219191, AVAST4: Win32:Slenugga [Trj] )
      7. c:\\windows\\jodrive32.exe - Net-Worm.Win32.Kolab.aeen ( DrWEB: Trojan.Inject.47677, BitDefender: Trojan.Generic.6196066, AVAST4: Win32:Slenugga [Trj] )
      8. c:\\windows\\system32\\bsysmgr.exe - P2P-Worm.Win32.Palevo.drqu ( DrWEB: Trojan.AVKill.9382, BitDefender: Backdoor.Generic.668744, NOD32: Win32/TrojanClicker.VB.NUA trojan, AVAST4: Win32:Malware-gen )
      9. c:\\windows\\system32\\12.exe - Backdoor.Win32.Floder.ach ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
      10. c:\\windows\\system32\\18.exe - Backdoor.Win32.Floder.ach ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
      11. c:\\windows\\system32\\62.exe - Backdoor.Win32.Floder.ach ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
      12. c:\\windows\\system32\\72.exe - Backdoor.Win32.Floder.acj ( DrWEB: BackDoor.Siggen.36139, BitDefender: Trojan.Generic.KDV.271750, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )


  • Уважаемый(ая) DviK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. jodrive32.exe
      От Flatline в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.07.2011, 17:35
    2. jodrive32.exe and etc.
      От Yoko в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.06.2011, 19:12
    3. jodrive32.exe
      От Nexelx в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.06.2011, 02:11
    4. Jodrive32.exe
      От SuperIoR в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.06.2011, 20:57
    5. jodrive32
      От i200285 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.05.2011, 14:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01478 seconds with 20 queries