JoDrive32 и последствия

**Sa1aT** · 29.08.2011, 11:31

Вчера схватил заразу JoDrive32.
Началось все проявляться с того что у меня начал отрубаться интернет (пользуюсь 3G модемом)... и отрубаться очень странно, а именно: подключаю интернет после чего комп самостоятельно начинает что-то выкачивать из интернета размером приблизительно 100Кб после чего скорость падает до 0 и отключить подключение уже нельзя, только если перезагружаться и картина повторяется раз от раза. Эту злобную деятельность вел процесс Jodrive32.exe который я вырубил в диспетчере и просто напросто удалил из системы и еще сопутствующие файлы в папке system32 такие как 15.exe 32.exe 47.exe и пр... (почитал на др. сайтах что это он создает такие файлы).
Я не очень шарю но мне кажется что я поторопился с самолечением и удалил только шестеренку злобного механизма, а надо было сразу обратиться к вам (но так у меня хотябы есть доступ в интернет). Сейчас этот процесс не беспокоит но интернет работает не очень стабильно, слишком сильно падает скорость и, что собственно подтолкнуло меня обратиться к вам, странные сообщения моего антивируса (выкладываю скрины сообщений, думаю что это вам пригодится и будет важным)...
Безымянный.JPG Безымянный2.JPG (сообщения появляются после каждого подключения к интернету и в моей папке создатся файлы под разными именами).

кстати обновить антивирусные базы тоже не удается т.к. у меня пропал доступ на сайты eset.ru, kaspersky.ru, возможно др., что тоже доказывает что самолечение проведено не полностью/не правильно.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.08.2011, 11:31

Уважаемый(ая) Sa1aT, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Шапельский Александр** · 29.08.2011, 12:44

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 DelBHO('Disabled:{E7E6F031-17CE-4C07-BC86-EABFE594F69C}');
 DelBHO('Disabled:{DBC80044-A445-435b-BC74-9C25C1C588A9}');
 QuarantineFile('C:\Documents and Settings\Станислав\Application Data\Itvyvg.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 DeleteFile('C:\Documents and Settings\Станислав\Application Data\Itvyvg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Itvyvg');
BC_ImportAll;
ExecuteSysClean;
Executerepair(11);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Сделайте лог полного сканирования МВАМ

**Sa1aT** · 29.08.2011, 21:00

Антивир больше не ругается, на сайты тоже заходит нормально. Что бы удостовериться что все в порядке вот новые логи.

**Шапельский Александр** · 29.08.2011, 21:25

Удалите в МВАМ

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe (Security.Hijack) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zaber0 (Worm.AutoRun.Gen) -> Value: zaber0 -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\A0IV1GI2\dc43[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\станислав\local settings\Temp\c7b.tmp.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\станислав\local settings\temporary internet files\Content.IE5\DN7NNDU1\522464163[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\станислав\local settings\temporary internet files\Content.IE5\DN7NNDU1\522464163[2].gif (Extension.Mismatch) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.

Сделайте новый лог МВАМ

**Sa1aT** · 31.08.2011, 08:57

Удалил.
Вот новые логи MBAM.

**Шапельский Александр** · 31.08.2011, 12:48

Что с проблемой?

**Sa1aT** · 31.08.2011, 16:36

Больше ничего не беспокоит, все стабильно.

Спасибо Вам огромное!

**CyberHelper** · 01.09.2011, 16:36

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\станислав\\application data\\itvyvg.exe - Backdoor.Win32.Ruskill.cgr ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Gen:Variant.Tofsee.1, AVAST4: Win32:Kolab-JO [Trj] )

JoDrive32 и последствия (заявка № 108034)

Опции темы

JoDrive32 и последствия

Итог лечения

Похожие темы

jodrive32.exe

jodrive32

jodrive32.exe

Jodrive32.exe

jodrive32

Ваши права в разделе